15 leden

Konfigurační návod Aruba IAP-VPN   Google+ Twitter LinkedIn Facebook

  0 Přílohy   0 Komentáře   
Počet hvězdiček je: 5/5. Hodnoceno 2x.
 
 
 

Konfigurační návod Aruba VIA (Virtual Intranet Access)

 
 
 
Jan Mašín, Jakub Konečný

masin@atlantis.cz, jakub.konecny@atlantis.cz

 
8. prosince 2020
 

Šíření bez souhlasu autora a společnosti atlantis telecom je zakázáno.

 
 


Obsah

1   Představení Aruba IAP-VPN .............................................................................................................. 3
      1.1   Licencování....................................................................................................................................................... 3
      1.2   IAP-VPN vs RAP ............................................................................................................................................... 3
      1.3   Limity pro IAP-VPN ......................................................................................................................................... 4
      1.4   IAP-VPN Forwarding Modes ......................................................................................................................... 4
      1.5   IAP-VPN s VPN koncentrátory třetích stran ............................................................................................. 5
2   Topologie pro tento návod a prerekvizity ...................................................................................... 6
3   Nahrání licencí do kontroléru .......................................................................................................... 7
4   Zapnutí skrytých voleb ..................................................................................................................... 10
5   Konfigurace IP konektivity ............................................................................................................... 11
      5.1   Nastavení VLAN .............................................................................................................................................. 11
      5.2   Nastavení IP parametrů ............................................................................................................................... 13
      5.3   Otestování konektivity ................................................................................................................................... 17
6   Konfigurace jednotlivých režimů IAP-VPN ..................................................................................... 19
      6.1   Základní nastavení VPN ................................................................................................................................ 19
      6.2   Nastavení ověření IAP-VPN na kontroléru ............................................................................................... 20
      6.3   Nastavení IAP-VPN na Instantu ................................................................................................................... 21
      6.4   Local režim IAP-VPN ...................................................................................................................................... 23
      6.5   Local L3 režim na IAP-VPN ........................................................................................................................... 28
      6.6   Centralized L2 režim IAP-VPN ..................................................................................................................... 33
      6.7   Centralized L3 režim IAP-VPN ..................................................................................................................... 38
      6.8   Distributed L2 režim IAP-VPN ..................................................................................................................... 44
      6.9   Distributed L3 režim IAP-VPN ..................................................................................................................... 49
7   Diagnostika ........................................................................................................................................ 55
      7.1   Troubleshooting na kontroléru .................................................................................................................. 55
            7.1.1   Práce se systémovým logem ............................................................................................................. 55
            7.1.2   Získávání informací o aktivních uživatelích .................................................................................... 57
            7.1.3   Získávání informací o IPsec spojeních ............................................................................................ 57
Seznam tabulek ...................................................................................................................................... 61
Seznam obrázků ..................................................................................................................................... 62
 
 
_____
2   
Zpět na obsah
 

1   Představení Aruba IAP-VPN

Aruba IAP-VPN může zajišťovat řešení pro zabezpečený přístup koncových klientů (či jiné firemní infrastruktury) do podnikové sítě. Pomocí tohoto řešení tedy lze snadno a rychle vytvořit novou firemní pobočku či náročnější domácí kancelář.

IAP-VPN sestavuje zabezpečené šifrované spojení (k řídícímu kontroléru) pomocí protokolu IPSec (případně je možno použít i GRE a L2TP). Ověření IAP-VPN pak probíhá pomocí MAC adresy a certifikátu. V případě potřeby je možno doplnit standardní druhy šifrování o „Suite B“ kryptografii, na což je pak ale třeba speciální licence LIC-ACR (Advanced Cryptography). Lze volit mezi různými režimy provozu (viz 1.4 IAP-VPN Forwarding Modes). IAP-VPN umožňuje v „Centralized L2“ režimu i klasické typy tunelů jako je full-tunnel (veškerá data jsou tunelovány do kontroléru a zpět, včetně provozu do internetu, klient pak vystupuje skrze firemní veřejnou IP) a split-tunnel (pouze provoz určený pro firemní síť jde do tunelu a zbytek pak jde skrze lokální síť, tedy klient přistupuje do internetu skrze veřejnou adresu svého domácího routeru). Dále je samozřejmě možné část provozu nechat jen lokálně v bridge (např. pro zajištění lokální/domácí SSID, tento provoz je pouze lokální a není nikam tunelován).

Při IPSec tunelu (který bude použit pro všechny níže uvedené scénáře), pak v reálném provozu musí být kontrolér buď na veřejné IP, nebo musí být zajištěn překlad portů na jeho lokální IP adresu. Použité porty jsou 500 a 4500, oba UDP.

Více informací možno nalézt na https://www.arubanetworks.com/assets/so/SG_IAP-VPN.pdf.
 

1.1   Licencování

V základu stačí mít „holý“ kontrolér bez licencí. V případě potřeby ACL pro tunel mezi IAP klastrem a kontrolérem je možné volitelně nasadit LIC-VIA, která primárně slouží pro VIA klienty, ale používá se i k možnosti zadání ACL přímo na tunel. Dále, pokud by bylo třeba, je možné volitelně nasadit jednu LIC-PEF, která následně umožní zadávat ACL pravidla na konkrétní ethernetový port či VLAN. Nicméně všechny scénáře, které jsou u IAP-VPN možné, jsou proveditelné i bez těchto volitelných licencí.

IAP je standardně systém bez licencí, takže zde jakékoliv starosti kolem licencování odpadají.
 

1.2   IAP-VPN vs RAP

IAP-VPN je v podstatě ekonomická varianta řešení oproti RAP, který vyžaduje licence na AP (více o RAP viz https://www.atlantis.cz/blog/networking/konfiguracni-navod-vpn-aruba-rap-(remote-access-po), ale má samozřejmě svá omezení.

Pokud se provozuje více IAP klastrů, je dobré nad celým řešením nasadit AirWave, pomocí kterého je možné celé řešení z jednoho místa monitorovat i konfigurovat. Jinak bude nutné jednotlivé IAP klastry řešit samostatně, protože kontrolér pro ně zajišťuje pouze VPN koncentrátor, ale žádná konfigurace ani dohled nad IAP na kontroléru přímo není.

Vlastnosti IAP-VPN:
  • lokální management nebo skrze AirWave;
  • nejsou třeba licence;
  • kontrolér je pouze VPN koncentrátor;
  • vhodné pro lokality, kde je k pokrytí potřeba více AP a je kladen důraz na roaming klientů;
  • větší flexibilita pro VPN režimy (více viz kapitola 1.4 IAP-VPN Forwarding Modes).

Vlastnosti RAP:
  • vhodné pro L2 VPN řešení;
 
_____
3   
Zpět na obsah
 
  • AP jsou kompletně ovládány kontrolérem;
  • nutnost licencí;
  • nevhodné pro lokality, kde je k pokrytí potřeba více AP a je kladen důraz na roaming klientů, protože v případě RAPů nefunguje klasický roaming klientů pokud (jako v případě CAP) je třeba více RAPů na pokrytí jedné pobočky.
 

1.3   Limity pro IAP-VPN

Každý kontrolér má omezený počet instantních klastrů, rout, L2 uživatelů a VLAN pro IAP-VPN (viz Tabulka 1). K nejnovějším modelům série 9000 aktuálně (prosinec 2020) nejsou tyto informace dostupné, takže se dá počítat s parametry od 7005 do 7010.
 
Obr_str4.PNG
Tabulka 1: Limity kontrolérů pro IAP-VPN

Propustnost se přes IPsec v režimu IAP-VPN pohybuje od cca 20 Mb/s u nejslabších AP až po cca 400 Mb/s u těch nejsilnějších a ještě v závislosti na použitém režimu VPN. Tunel vždy navazuje AP, které je v klastru jako master, takže pokud se IAP-VPN navazuje v klastru, kde je více modelů, je vhodné zvolit nejsilnější AP jako „prefered master“. V případě použití GRE tunelu ještě můžete použít volbu „Per-AP tunnel“ a tím se teoreticky může významně zvýšit propustnost celé IAP-VPN (ale pouze pokud vám stačí GRE tunel).
 

1.4 IAP-VPN Forwarding Modes

IAP-VPN umožňuje poměrně hodně režimů, mezi které patří Local, Local L2, Centralized L2, Centralized L3, Distributed L2 a Distributed L3. Podrobnosti k těmto režimům, viz Tabulka 2.
 
 
Obr_str4_2-(1).PNG
Tabulka 2: Porovnání jednotlivých režimů pro IAP-VPN
 
_____
4   
 

Další informace pro jednotlivé režimy budou uvedeny v následujících kapitolách, které se budou těmto režimům věnovat podrobněji. Popis s podrobnostmi přímo od výrobce je možné nalézt zde https://www.arubanetworks.com/techdocs/Instant_83_WebHelp/Content/Instant_UG/IAP_VPN/rapNG_arch.htm.
 

1.5   IAP-VPN s VPN koncentrátory třetích stran

Dále je důležité uvést, že IAP-VPN jde jako IPSec klient připojit i k VPN koncentrátorům třetích stran. Je třeba si ale dát pozor, že ve webovém rozhraní existuje pouze možnost „Aruba IPSec“ a to není standardní IPSec, ale již „přiohnutý“ Arubou k co nejjednoduššímu nasazení IAP-VPN s kontrolérem. Pokud tedy chcete IAP připojit k zařízení třetí strany, tak je třeba použít CLI, kde se již dá nastavit standardní IPSec.

Důležité je vždy sladit parametry pro IPSec tunel na straně VPN koncentrátoru. Základní parametry u IAP-VPN pro obě fáze IPSecu níže.
 
Obr_str5_1.PNG

Příklad konfigurace standardního IPSec tunelu v CLI IAP.
 
Obr_str5_2.PNG

Ověření konfigurace v CLI IAP.
 
Obr_str5_3.PNG

Flexibilita tohoto nasazení, ale je mnohem menší nežli nasazení s kontrolérem. Pro IPSec jde použít pouze PSK klíč s IKEv1. Dále se zařízeními třetích stran lze nasadit pouze „Local“ scénář (viz Tabulka 2), kde je korporátní provoz i provoz do internetu pouze za Source-NATem a nejdou nasadit žádné L2, ani L3 režimy, což může být pro mnoho zákazníků velice limitující.



 
_____
5   
Zpět na obsah


2   Topologie pro tento návod a prerekvizity

Před samotnou konfigurací se očekává, že máte připravený kontrolér s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.2). Kontrolér by měl mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měl by být dostupný po IP. Konfigurace je demonstrována na zařízení v režimu standalone.

Schéma testovací topologie ukazuje Obrázek 1. Měla by obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení.

Obr_str5_1_1.PNG
 
Obrázek 1: Schéma testovací topologie


Přímo na kontroléru existují VLAN 1010 a VLAN 111. VLAN 1001 je použitá jako hlavní management VLAN a slouží i jako uplink. GW v této VLAN je přímo korporátní firewall (10.0.10.254) a tato VLAN se používá i pro zakončení VPN tunelu z IAP (konkrétně adresa 10.0.10.100 na kterou je z veřejné adresy nastaven překlad UDP portů 4500 a 500). VLAN 1001 je z korporátního firewallu (FW) připojena L2 přímo do kontroléru. VLAN 111 je použita pouze pro demonstraci L2 VPN.

VLAN 100, 133, 144, 222 existují pouze na IAP a budou použity pro jednotlivé testovací scénáře.

Přiřazení jednotlivých VLAN k testovacím scénářům ukazuje Obrázek 1 a u každé VLAN je uveden odpovídající režim (viz Tabulka 2), pro který je konkrétní VLAN použita.

Síť 192.168.111.0/24, kde GW je pobočkový firewall (192.168.111.1) a IAP má adresu 192.168.111.42, slouží jako uplink do internetu a pro navázání IPSec tunelu ke kontroléru.

IP rozsah 22.22.22.22 až 22.22.22.222 slouží pouze jako vnitřní IP rozsah pro navázání IPSec tunelu.
 


_____
6   
Zpět na obsah

 

3   Nahrání licencí do kontroléru

Jako volitelný krok můžete nahrát do kontroléru licence. K čemu mohou sloužit licence, viz část 1 na straně 3. Pokud jste již licence do kontroléru nahráli nebo žádné používat nebudete, můžete tuto část přeskočit. V opačném případě následujte instrukce níže.

Nejprve si připravte licenční klíče. Získáte je aktivací v licenčním portálu, který používáte. V době vzniku tohoto návodu je to buď My Networking portál, nebo novější ASP (Aruba Support Portal). Nezapomeňte, že už máte pro konkrétní kontrolér aktivované nějaké licence a budete chtít aktivovat další, je třeba to provést pod stejným účtem, pod kterým jsou vedeny ostatní aktivní licence.

Nyní se přihlaste do webového rozhraní kontroléru. Má-li kontrolér IP adresu například 172.16.0.254, pak je management běžně na adrese https://172.16.0.254:4343 (172.16.0.254/24 je nativní IP rozsah ve VLAN 1, který vám kontrolér nabídne při úvodním nastavení, případně tedy zvolte vám nadefinovaný rozsah). Viz Obrázek 2.
 
Obrazek-2.PNG
Obrázek 2: Přihlášení do webového rozhraní kontroléru
 

Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz Obrázek 3.
Obrazek-3.PNG
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru
 

 

_____
7   
Zpět na obsah

 

Dále v hlavním menu vyberte položku License v části Configuration (viz Obrázek 4).
 
Obrazek-4.PNG
Obrázek 4: Přístup ke správě licencí skrze hlavní menu
 

Na stránce, která se otevře, uvidíte aktuální stav nahraných licencí – protože kontrolér není ještě zalicencovaný, měly by počty být stejné, jako ukazuje Obrázek 5.

Obrazek-5.PNG
Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru


Na téže stránce přejděte do části Inventory a klepnutím na symbol Ikona-plus.PNG otevřete dialog pro přidání nových licencí. V okně, které se otevře (viz Obrázek 6), zadejte licenční klíč pro LIC-VIA (případně LIC-PEF nebo LIC-ACR) funkcionalitu a potvrďte ho klepnutím na tlačítko OK (případně zadejte další vaše licenční klíče).
 
Obrazek-6.PNG
 
Obrázek 6: Dialog pro vložení licenčního klíče
 

_____
8   
Zpět na obsah

 

Nakonec zkontrolujte, že nově nahrané licence jsou správně nainstalovány a aktivní. Licence pro VIA VPN jsou povoleny automaticky, není tedy nutné je ještě dodatečně zapínat. Viz Obrázek 7.
Obrazek-7.PNG
Obrázek 7: Kontrola stavu licencí pro přidání nových


Licencování by nyní mělo být vyřešeno a můžete tedy pokračovat v samotné konfiguraci.














 
_____
9   
Zpět na obsah
 

4   Zapnutí skrytých voleb

Webové rozhraní AOS 8 ve výchozím stavu skrývá některé typy konfiguračních profilů (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem v dalších částech konfigurace, zapněte si jejich zobrazování rovnou.

V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na Preferences. Viz Obrázek 8.
 
Obrazek-8.PNG
Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní


V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem „Save“ nastavení uložte. Viz
 
Obrazek-9.PNG
Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní


V další části nastavíte nezbytné VLAN a IP parametry.


 
_____
10  
Zpět na obsah
 

5   Konfigurace IP konektivity

Zatímco práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, další nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.

Konfigurační kontext změníte klepnutím na tlačítko ikona-pruhy.PNG vlevo nahoře, viz Obrázek 10. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz Obrázek 11.
 
Obrazek-10.PNG
Obrázek 10: Menu pro změnu konfiguračního kontextu

Obrazek-11.PNG
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního


Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz Obrázek 12.

Obrazek-12.PNG
Obrázek 12: Změna konfiguračního kontextu
 

5.1   Nastavení VLAN

VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo výše: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje Obrázek 13.

Obrazek-13.PNG
Obrázek 13: Menu pro přístup ke konfiguraci VLAN
 

  _____
11  
Zpět na obsah
 

Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na Ikona-plus-(1).PNG. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko „Submit“. Viz Obrázek 14.
 
Obrazek-14.PNG
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu)


Následně změny nasaďte klepnutím na tlačítko „Pending Changes“ vpravo nahoře. V okně, které se otevře, můžete zkontrolovat změny v konfiguraci. Klepnutím na tlačítko „Deploy Changes“ se změny aktivují. Viz Obrázek 15.

Obrazek-15.PNG
Obrázek 15: Nasazení konfigurace nové VLAN do provozu


Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 1001) a následně ji v části Port Members přiřaďte na konkrétní port. Viz Obrázek 16 a Obrázek 17. Nastavení nezapomeňte uložit klepnutím na tlačítko „Submit“ vpravo dole.

Obrazek-16.PNG
Obrázek 16: Přístup k nastavení VLAN na portech
 

_____
12  
Zpět na obsah

 


Obrazek-17.PNG
Obrázek 17: Přiřazení VLAN na konkrétní port


Následně opět změny aktivujte klepnutím na tlačítko „Pending Changes“ vpravo nahoře, respektive tlačítko „Deploy Changes“ v okně, které se zobrazí. Před samotnou aktivací opět můžete zkontrolovat nastavení, jak ukazuje Obrázek 18.

Obrazek-18.PNG
Obrázek 18: Nasazení konfigurace nové VLAN do provozu
 

5.2   Nastavení IP parametrů

Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 19. Nastavení uložte klepnutím na tlačítko „Submit“.

Obrazek-19.PNG
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu
 

_____
13  
Zpět na obsah 

 

Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz Obrázek 20. V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven. Tímto tedy zajistíme to, že VLAN 111 (kterou přidáme vzápětí) bude mít přístup do internetu skrze naší uplinkovou VLAN.

Obrazek-20.PNG
Obrázek 20: Zapnutí NAT provoz do internetu


I tentokrát nastavení uložte tlačítkem „Submit“ a následně změny aktivujte klepnutím na tlačítko „Pending Changes“, viz Obrázek 21.

Obrazek-21.PNG
Obrázek 21: Kontrola a aktivace nastavení IP adresy


Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko Ikona-plus-(2).PNG a zadejte adresu brány, jak ukazuje Obrázek 22.
 

_____
14  
Zpět na obsah

 
Obrazek-22.PNG
Obrázek 22: Přidání nové výchozí brány


Nastavení uložte tlačítkem „Submit“ vpravo dole, brána se objeví v seznamu, viz Obrázek 23. Nezapomeňte také aktivovat změny jako vždy přes tlačítko „Pending Changes“ vpravo nahoře – viz Obrázek 24.

Obrazek-23.PNG
Obrázek 23: Seznam existujících výchozích bran

Obrazek-24.PNG
Obrázek 24: Aktivace změn po nastavení nové výchozí brány


V dalším kroku vytvořte VLAN 111 (v kontextu vašeho kontroléru) v sekci Configuration → Interfaces → VLANs → zvolte Ikona-plus-(3).PNG a zadejte novou VLAN a potvrďte tlačítkem „Submit“ (viz Obrázek 25). Aktivujte změny přes tlačítko „Pending Changes“ vpravo nahoře viz Obrázek 26.

Obrazek-25.PNG
Obrázek 25: Vytvoření VLAN 111

Obrazek-26.PNG
Obrázek 26: Aktivace změn po nastavení vytvoření VLAN 111
 

_____
15  
Zpět na obsah

 

Nastavte IP adresu pro VLAN viz Obrázek 27. Potvrďte tlačítkem „Submit“ a „Pending Changes“.

Obrazek-27.PNG

Obrázek 27: Zadáni IP adresy pro VLAN 111


Dále můžete přiřadit VLAN 111 k libovolnému volnému portu na kontroléru. Postupujte dle kroků, které znázorňuje Obrázek 28. Vše pak potvrďte tlačítkem „Pending Changes“. Tento port pak můžete použít k připojení koncového klienta a otestování funkčnosti VIA-VPN.

Obrazek-28.PNG
Obrázek 28: Přiřazení VLAN 111 ke konkrétnímu portu


Nakonec ještě nastavte synchronizaci času pomocí NTP. Přejděte do menu Configuration, System. Na záložce General, v části Clock, klepněte pod tabulkou NTP Servers na tlačítko Ikona-plus-(4).PNG, zadejte adresu NTP serveru, případně opravte časové pásmo (není-li nastaveno správně), viz Obrázek 29. Tlačítkem „Submit“ nastavení uložte a nezapomeňte změny aktivovat – viz Obrázek 30.

 

_____
16  
Zpět na obsah

 
Obrazek-29.jpg
Obrázek 29: Přidání nového NTP serveru

Obrazek-30.jpg
Obrázek 30: Aktivace nastavení nového NTP serveru
 

5.3   Otestování konektivity

Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje Obrázek 31.
 
Obrazek-31.jpg
Obrázek 31: Menu pro přístup k diagnostickým nástrojům


Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány, viz Obrázek 32 a Obrázek 33.

 

_____
17  
Zpět na obsah  
 

Obrazek-32.jpg
Obrázek 32: Použití nástroje Ping pro otestování konekti

Obrazek-33.jpg
Obrázek 33: Výsledek testu konektivity pomocí nástroje Ping


Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.








 

_____
18  
Zpět na obsah


6   Konfigurace jednotlivých režimů IAP-VPN

V následující kapitole bude popsáno jak základní nastavení pro zprovoznění VIA-VPN, tak i různé režimy tohoto řešení (Local, Local L2, Distributed L2, Distributed L3, Centralized L2 a Centralized L3).
 

6.1   Základní nastavení VPN

Jako první nastavte IP DHCP pool, který budou jednotlivé IAP-VPN klastry dostávat. IP rozsah 22.22.22.22 až 22.22.22.222 slouží pouze jako vnitřní „projovačka“ pro navázání IPsec tunelu mezi IAP-VPN a kontrolérem. Poté nastavte DNS a potvrďte tlačítkem „Submit“ (pokud byste chtěli používat nějaké lokální DNS předklady, tak můžete nastavit váš lokální DNS server, viz Obrázek 34).

Obrazek-34.jpg

Obrázek 34: Přidání IP poolu pro VPN služby a DNS
 

  _____
19  
Zpět na obsah
 

6.2   Nastavení ověření IAP-VPN na kontroléru

Pro ověření IAP-VPN zadejte MAC adresu master IAP celého klastru do whitelistu (viz Obrázek 35). Pak potvrďte tlačítkem Submit.
Obrazek-35.jpg
 
Obrázek 35: Nastavení MAC adresy IAP-VPN do whitelistu


Zadaná MAC adresa IAP-VPN ve whitelistu (viz Obrázek 36).

Obrazek-36.jpg
Obrázek 36: Zadaná MAC IAP-VPN ve white listu


Dále jděte do CLI kontroléru a zadejte stejnou MAC adresu pro Obr_str20_1-(1).PNG , viz níže.

Obr_str20_2-(1).PNG

Zkontrolujte zadanou MAC adresu pomocí příkazu níže.

Obr_str20_3-(1).PNG
 


  _____
20  
Zpět na obsah
 
 

6.3   Nastavení IAP-VPN na Instantu

Přihlaste se do instantního AP a proveďte konfiguraci „Aruba IPSec“ tunelu. Jako IP zadejte veřejnou IP kontroléru a protokol bude Aruba IPSec, viz Obrázek 37.
 
Obrazek-37.jpg
 
Obrázek 37: Nastavení Aruba IPSec na IAP

Zkontrolujte v CLI instantního AP, zda se tunel sestavil, viz níže.

Obr_str21_1-(1).PNG
 


_____
21  
Zpět na obsah


Obr_str22_1-(1).PNG

V CLI kontroléru můžete provést kontrolu také. Nejprve zkontrolujte, že došlo ke správnému ověření, viz níže.

Obr_str22_2-(1).PNG

Dále pak, zda došlo ke správnému sestavení IPSec tunelu. Použijte příkaz níže.

Obr_str22_3-(1).PNG
 
 


_____
22  
Zpět na obsah  


6.4   Local režim IAP-VPN

V režimu „Local“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 133. DHCP server i default GW je u tohoto scénáře též na VC. Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 1001), je klient také za Source-NATem, ale v tomto případě je skryt za vnitřní IP adresu IPSec tunelu. Celá topologie viz Obrázek 38.
 
Obrazek-38.jpg

Obrázek 38: Topologie pro Local IAP-VPN režim


Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Local DHCP Scope“, viz Obrázek 39.

Obrazek-39.jpg
 
Obrázek 39: Vytvoření Local DHCP poolu pro VLAN 133
 

_____
23  
Zpět na obsah



Všechny parametry nastavte dle obrázku níže (viz Obrázek 40). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
 
Obrazek-40.jpg
Obrázek 40: Nastavení parametrů pro VLAN 133

Přejděte do síťového nastavení a vytvořte nový profil, viz Obrázek 41.

Obrazek-41.jpg

Obrázek 41: Vytvoření nového síťového profilu pro VLAN 133

Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a potvrďte tlačítkem „Next“. Viz Obrázek 42.

Obrazek-42-(1).jpg
Obrázek 42: Nastavení názvu a typu síťového profilu pro VLAN 133

____
24  
Zpět na obsah


Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 133 a pokračujte dále tlačítkem „Next“. Viz Obrázek 43.

Obrazek-43.jpg
Obrázek 43: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 133

Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“. Viz Obrázek 44.

Obrazek-44.jpg
Obrázek 44: Nastavení zabezpečení pro VLAN 133

Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“. Viz Obrázek 45.

Obrazek-45.jpg
Obrázek 45: Nastavení ACL pro VLAN 133

Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“. Viz Obrázek 46.

Obrazek-46.jpg
Obrázek 46: Přiřazení VLAN 133 ke konkrétnímu portu AP
 
_____
25  
Zpět na obsah
 

V dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz Obrázek 47.

Obrazek-47.jpg
Obrázek 47: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24

Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz Obrázek 48.

Obrazek-48.jpg
Obrázek 48: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24

íže můžete zkontrolovat zadanou routu ve VC, viz Obrázek 49.

Obrazek-49.jpg
Obrázek 49: Zadaná routa ve VC pro 10.0.10.0/24

____
26  
Zpět na obsah


Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení. Připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 133. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti; pokud nemáte, tak si nějakého připojte) a následně do internetu, viz Obrázek 50.

Obrazek-50.jpg
Obrázek 50: Kontrola funkčnosti režimu „Local“

Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.

Obr_str27_1-(1).PNG
 
 
_____
27  
Zpět na obsah
 

6.5   Local L3 režim IAP-VPN

V režimu „Local L3“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 144. DHCP server i default GW je u tohoto scénáře též na VC. Klientský provoz směřující do internetu je routován skrze VC a je třeba mít nastavenou zpětnou routu na pobočkovém FW. Při korporátním provozu (VLAN 1001), je klient za Source-NATem a je skryt za vnitřní IP adresu IPSec tunelu. Celá topologie viz Obrázek 51.

Obrazek-51.jpg
Obrázek 51: Topologie pro Local L3 IAP-VPN režim


Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Local DHCP Scope“, viz Obrázek 52.
 
Obrazek-52.jpg

Obrázek 52: Vytvoření Local DHCP poolu pro VLAN 144

_____
28  
Zpět na obsah


Všechny parametry nastavte dle obrázku níže (viz Obrázek 53). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.

Obrazek-53.jpg
Obrázek 53: Nastavení parametrů pro VLAN 144

Přejděte do síťového nastavení a vytvořte nový profil, viz Obrázek 54.

Obrazek-54.jpg
Obrázek 54: Vytvoření nového síťového profilu pro VLAN 144

Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz Obrázek 55.

Obrazek-55.jpg
Obrázek 55: Nastavení názvu a typu síťového profilu pro VLAN 144
 
_____
29  
Zpět na obsah


Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 144 a pokračujte dále tlačítkem „Next“, viz Obrázek 56.

Obrazek-56.jpg
Obrázek 56: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 144
 
Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz Obrázek 57.

Obrazek-57.jpg
Obrázek 57: Nastavení zabezpečení pro VLAN 144
 
Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz Obrázek 58.

Obrazek-58.jpg
Obrázek 58: Nastavení ACL pro VLAN 144

Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz Obrázek 59.

Obrazek-59.jpg
Obrázek 59: Přiřazení VLAN 144 ke konkrétnímu portu AP

_____
30  
Zpět na obsah

 
Pokud jste tak již neučinili dříve, tak v dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz Obrázek 60.

Obrazek-60.jpg

Obrázek 60: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24

Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz Obrázek 61.

Obrazek-61.jpg
Obrázek 61: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24

Níže můžete zkontrolovat zadanou routu ve VC, viz Obrázek 62.

Obrazek-62.jpg
Obrázek 62: Zadaná routa ve VC pro 10.0.10.0/24


_____
31  
Zpět na obsah


Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení. Připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 144. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz Obrázek 63.
 
Obrazek-63.jpg
Obrázek 63: Kontrola funkčnosti režimu „Local L3“

Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.

Obr_str32_1-(1).PNG
 
 


_____
32  
Zpět na obsah
 

6.6   Centralized L2 režim IAP-VPN

Režim „Centralized L2“ zajišťuje L2 VPN. DHCP server i default GW je u tohoto scénáře na kontroléru, nebo v datacentru (v našem testovacím prostředí máme DHCP i GW pro VLAN 1001 v korporátním routeru). Klientský provoz směřující do internetu je možné v tomto případě řešit dvěma způsoby. První je Source-NAT za IP adresou VC (režim split-tunnel), druhý způsob je tunelovat provoz do internetu v L2 režimu (full-tunnel). Při korporátním provozu (VLAN 1001) je klient kompletně v L2 režimu. Celá topologie ve split-tunnelu viz Obrázek 64. Topologie ve full-tunnelu viz Obrázek 65.

Obrazek-64.jpg

Obrázek 64: Topologie pro Centralized L2 IAP-VPN režim ve split-tunnelu


Obrazek-65.jpg

Obrázek 65: Topologie pro Centralized L2 IAP-VPN režim ve full-tunnelu
 
_____
33  
Zpět na obsah


Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Centralized DHCP Scope“, viz Obrázek 66.

Obrazek-66.jpg

Obrázek 66: Vytvoření Centralized DHCP pro VLAN 1001

Všechny parametry nastavte dle obrázku níže (viz Obrázek 67). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.

Obrazek-67.jpg

Obrázek 67: Nastavení parametrů pro VLAN 1001


Přejděte do síťového nastavení a vytvořte nový profil, viz Obrázek 68.

Obrazek-68.jpg

Obrázek 68: Vytvoření nového síťového profilu pro VLAN 1001
 
_____
34  
Zpět na obsah
 

Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz Obrázek 69.

Obrazek-69.jpg
Obrázek 69: Nastavení názvu a typu síťového profilu pro VLAN 1001


Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 1001 a pokračujte dále tlačítkem „Next“, viz Obrázek 70.
 
Obrazek-70.jpg

Obrázek 70: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 1001


Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz Obrázek 71.
 
Obrazek-71.jpg
Obrázek 71: Nastavení zabezpečení pro VLAN 1001
 
_____
35  
Zpět na obsah


Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz Obrázek 72.
 
Obrazek-72.jpg
Obrázek 72: Nastavení ACL pro VLAN 1001


Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz Obrázek 73.
 
Obrazek-73.jpg

Obrázek 73: Přiřazení VLAN 1001 ke konkrétnímu portu AP


Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 1001. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz Obrázek 74.
 
Obrazek-74.jpg

Obrázek 74: Kontrola funkčnosti režimu „Centralized L2“ ze strany klienta
 
_____
36  
Zpět na obsah


Dále můžete vyzkoušet dostupnost VLAN 100 přímo z korporátní VLAN 1001. Zkuste ping na IP vašeho klienta ve VLAN 100, viz Obrázek 75.
 
Obrazek-75.jpg

Obrázek 75: Kontrola funkčnosti režimu „Centralized L2“ ze strany korporátní sítě


Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.

Obr_str37_1-(1).PNG
 






 
_____
37  
Zpět na obsah


6.7   Centralized L3 režim IAP-VPN

V režimu „Centralized L3“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 100. DHCP server je v korporátním FW a pro VC slouží jako DHCP relay agent. Default GW je přímo na VC. Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 1001), je klient routován z VLAN 100 do VLAN 1001, jelikož se jedná o L3 provoz (a GW pro VLAN 1001 je v korporátním FW), tak je třeba mít, pro dostupnost VLAN 100 z korporátní sítě, zpětnou routu na korporátním FW, kde cíl bude VLAN 100 a GW IP adresa kontroléru z VLAN 1001. Celá topologie viz Obrázek 76.

Obrazek-76.jpg
Obrázek 76: Topologie pro Centralized L3 IAP-VPN režim


Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Centralized DHCP Scope“, viz Obrázek 77.

Obrazek-77.jpg
Obrázek 77: Vytvoření Centralized DHCP pro VLAN 100
 
_____
38  
Zpět na obsah


Všechny parametry nastavte dle obrázku níže (viz Obrázek 78). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.

Obrazek-78.jpg
Obrázek 78: Nastavení parametrů pro VLAN 100


Přejděte do síťového nastavení a vytvořte nový profil, viz Obrázek 79.

Obrazek-79.jpg
Obrázek 79: Vytvoření nového síťového profilu pro VLAN 100


Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz Obrázek 80.

Obrazek-80.jpg
Obrázek 80: Nastavení názvu a typu síťového profilu pro VLAN 100
 
 
_____
39  
Zpět na obsah


Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 100 a pokračujte dále tlačítkem „Next“, viz Obrázek 81.

Obrazek-81.jpg
Obrázek 81: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 100


Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz Obrázek 82.
 
Obrazek-82.jpg
Obrázek 82: Nastavení zabezpečení pro VLAN 100


Zde můžete zadat ACL, pokud je třeba V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz Obrázek 83.
 
Obrazek-83.jpg
Obrázek 83: Nastavení ACL pro VLAN 100


Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz Obrázek 84.

Obrazek-84.jpg
Obrázek 84: Přiřazení VLAN 100 ke konkrétnímu portu AP

_____
40  
Zpět na obsah


Pokud jste tak již neučinili dříve, tak v dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz Obrázek 85.
 
Obrazek-85.jpg

Obrázek 85: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24


Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz Obrázek 86.
 
Obrazek-86.jpg
Obrázek 86: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24


íže můžete zkontrolovat zadanou routu ve VC, viz Obrázek 87.

Obrazek-87.jpg
Obrázek 87: Zadaná routa ve VC pro 10.0.10.0/24
 

_____
41  
Zpět na obsah


 

Příkazem níže zkontrolujte, zda se routa z vašeho IAP-VPN DHCP scope propsala do kontroléru. Konkrétně jde o routu s příznakem „V“.

Obr_str42_1-(1).PNG
 
Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 100. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz Obrázek 88.
 
Obrazek-88.jpg
Obrázek 88: Kontrola funkčnosti režimu „Centralized L3“ ze strany klienta
 

_____
42  
Zpět na obsah


Dále můžete vyzkoušet dostupnost VLAN 100 přímo z korporátní VLAN 1001. Zkuste ping na IP vašeho klienta ve VLAN 100, viz Obrázek 89.

Obrazek-89.jpg
Obrázek 89: Kontrola funkčnosti režimu „Centralized L3“ ze strany korporátní sítě


Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.

Obr_str43_1-(1).PNG









 
_____
43  
Zpět na obsah
 

6.8   Distributed L2 režim IAP-VPN

Režim „Distributed L2“ zajišťuje L2 VPN. DHCP server je na virtuálním kontroléru (VC) a default GW je na kontroléru nebo v datacentru (v našem testovacím prostředí máme GW pro VLAN 111 na kontroléru). V tomto scénáři je použita jako korporátní VLAN 111 (z důvodu vyzkoušení IAP-VPN do VLAN zakončené přímo na kontroléru). Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 111) je klient kompletně v L2 režimu. Celá topologie viz Obrázek 90.
 
Obrazek-90.jpg
Obrázek 90: Topologie pro Distributed L2 IAP-VPN režim


Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Distributed DHCP Scope“, viz Obrázek 91.
 
Obrazek-91.jpg

Obrázek 91: Vytvoření Distributed DHCP pro VLAN 111
 
_____
44  
Zpět na obsah
 

Všechny parametry nastavte dle obrázku níže (viz Obrázek 92). Pokračujte tlačítkem „Next“.
 
Obrazek-92.jpg
Obrázek 92: Nastavení parametrů pro VLAN 111


Nastavte počet klientů, který bude na konkrétní pobočce a pokračujte tlačítkem „Next“, viz Obrázek 93.

Obrazek-93.jpg
Obrázek 93: Nastavení počtu klientů pro VLAN 111


Pokud budete v síti používat statické IP, tak si zde nastavte počty rezervací od spodní a horní hranice DHCP poolu, vše potvrďte tlačítkem „Finish“ (viz Obrázek 94). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
 
 
Obrazek-94.jpg
Obrázek 94: Nastavení rezervací pro VLAN 111


Přejděte do síťového nastavení a vytvořte nový profil, viz Obrázek 95.

Obrazek-95.jpg
Obrázek 95: Vytvoření nového síťového profilu pro VLAN 111

_____
45  
Zpět na obsah
 

Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz Obrázek 96.

Obrazek-96.jpg
Obrázek 96: Nastavení názvu a typu síťového profilu pro VLAN 111


Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 111 a pokračujte dále tlačítkem „Next“, viz Obrázek 97.
 
Obrazek-97.jpg
Obrázek 97: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 111


Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz Obrázek 98.

Obrazek-98.jpg
Obrázek 98: Nastavení zabezpečení pro VLAN 111


Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz Obrázek 99.

Obrazek-99.jpg
Obrázek 99: Nastavení ACL pro VLAN 111

_____
46  
Zpět na obsah
 

Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz Obrázek 100.

Obrazek-100.jpg
Obrázek 100: Přiřazení VLAN 111 ke konkrétnímu portu AP


Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 111. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz Obrázek 101.

Obrazek-101.jpg
Obrázek 101: Kontrola funkčnosti režimu „Distributed L2“ ze strany klienta


_____
47  
Zpět na obsah
 

Dále můžete vyzkoušet dostupnost VLAN 111 mezi klienty, ideálně aby druhý klient byl přímo v datacentru, viz Obrázek 75 (v příkladu na obrázku je testovací klient switch, ale můžete klienta libovolného).

Obrazek-102.jpg
Obrázek 102: Kontrola funkčnosti režimu „Distributed L2“ ze strany korporátní sítě


Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.

Obr_str48_1.PNG







 
_____
48  
Zpět na obsah
 

6.9   Distributed L3 režim IAP-VPN

V režimu „Distributed L3“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 222. DHCP server i default GW je ve VC. Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 1001), je klient routován z VLAN 222 do VLAN 1001, jelikož se jedná o L3 provoz (a GW pro VLAN 1001 je v korporátním FW), tak je třeba mít, pro dostupnost VLAN 222 z korporátní sítě, zpětnou routu na korporátním FW, kde cíl bude VLAN 222 a GW IP adresa kontroléru z VLAN 1001. Celá topologie viz Obrázek 103.

Obrazek-103.jpg
Obrázek 103: Topologie pro Distributed L3 IAP-VPN režim


Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Distributed DHCP Scope“, viz Obrázek 104.

Obrazek-104.jpg

Obrázek 104: Vytvoření Distributed DHCP pro VLAN 222
 
_____
49  
Zpět na obsah
 

Všechny parametry nastavte dle obrázku níže (viz Obrázek 105). Pokračujte tlačítkem „Next“.

Obrazek-105.jpg
Obrázek 105: Nastavení parametrů pro VLAN 222


Nastavte počet klientů, který bude na konkrétní pobočce a pokračujte tlačítkem „Next“, viz Obrázek 106.

Obrazek-106.jpg
Obrázek 106: Nastavení počtu klientů pro VLAN 222


kud budete v síti používat statické IP, tak si zde nastavte počty rezervací od spodní a horní hranice DHCP poolu, vše potvrďte tlačítkem „Finish“ (viz Obrázek 107). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.

Obrazek-107.jpg
Obrázek 107: Nastavení rezervací pro VLAN 222


Přejděte do síťového nastavení a vytvořte nový profil, viz Obrázek 108.

Obrazek-108.jpg
Obrázek 108: Vytvoření nového síťového profilu pro VLAN 222
 
_____
50  
Zpět na obsah
 

Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz Obrázek 109.

Obrazek-109.jpg
Obrázek 109: Nastavení názvu a typu síťového profilu pro VLAN 222


Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 100 a pokračujte dále tlačítkem „Next“, viz Obrázek 110.

Obrazek-110.jpg
Obrázek 110: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 222


Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz Obrázek 111.

Obrazek-111.jpg
Obrázek 111: Nastavení zabezpečení pro VLAN 222


Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz Obrázek 112.

Obrazek-112.jpg
Obrázek 112: Nastavení ACL pro VLAN 222
 
_____
51  
Zpět na obsah

Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz Obrázek 113.

Obrazek-113.jpg
Obrázek 113: Přiřazení VLAN 222 ke konkrétnímu portu AP


Pokud jste tak již neučinili dříve, tak v dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz Obrázek 114.

Obrazek-114.jpg
Obrázek 114: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24


Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz Obrázek 115.

Obrazek-115.jpg
Obrázek 115: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24


Níže můžete zkontrolovat zadanou routu ve VC, viz Obrázek 116.

Obrazek-116.jpg
Obrázek 116: Zadaná routa ve VC pro 10.0.10.0/24
 
_____
52  
Zpět na obsah

Příkazem níže zkontrolujte, zda se routa z vašeho IAP-VPN DHCP scope propsala do kontroléru, konkrétně jde o routu s příznakem „V“.

Obr_str53_1.PNG

Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 222. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz Obrázek 117.

Obrazek-117.jpg
Obrázek 117: Kontrola funkčnosti režimu „Distributed L3“ ze strany klienta


_____
53  
Zpět na obsah

Dále můžete vyzkoušet dostupnost VLAN 100 přímo z korporátní VLAN 1001. Zkuste ping na IP vašeho klienta ve VLAN 100, viz Obrázek 118.

Obrazek-118.jpg
Obrázek 118: Kontrola funkčnosti režimu „Distributed L3“ ze strany korporátní sítě


Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.

Obr_str54_1.PNG




 
_____
54  
Zpět na obsah
 

7   Diagnostika

7.1   Troubleshooting na kontroléru

Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování nejčastějších potíží, určitě nepopisují všechny možné situace.
 

7.1.1   Práce se systémovým logem

V příkladech níže si zejména všimněte, že různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.

Zobrazení posledních 10 zpráv v systémovém logu kontroléru:

Obr_str55_1.PNG

Zobrazení poslední 10 zpráv v systémovém logu, které se týkají bezpečnosti a podobně:

Obr_str55_2.PNG
 
_____
55  
Zpět na obsah
 

Zobrazení poslední 10 chybových zpráv v systémovém logu kontroléru:

Obr_str56_1.PNG

Zobrazení posledních 10 zpráv v systémovém logu, které se týkají přihlašování uživatelů:

Obr_str56_2.PNG
 
_____
56  
Zpět na obsah
 
 
Obr_str57_1.PNG



7.1.2   Získávání informací o aktivních uživatelích

Seznam aktivních uživatelů a informací o nich (role, zdrojová IP adresa a další):

Obr_str57_2.PNG
 

7.1.3   Získávání informací o IPsec spojeních

Obecně jsou všechny podstatné informace o IPsec dostupné pod menu Obr_str57_3.PNG (*1) . K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI(*2) (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).

Zobrazení informací o IPsec spojeních a jejich parametrech:

Obr_str57_4.PNG

Zobrazení podrobných informací o konkrétní IPsec protistraně:

Obr_str57_5.PNG


__________________________________________
_____
57  
Zpět na obsah
 
 
Obr_str58_1.PNG

Zobrazení informací o ISAKMP spojeních a jejich parametrech:

Obr_str58_2.PNG

Detailní informace o konkrétním ISAKMP spojení:

Obr_str58_3.PNG

 
_____
58  
Zpět na obsah
 
 
Obr_str59_1.PNG











 
_____
59  
Zpět na obsah
 













 

Seznamy












 

 


_____
60  
Zpět na obsah


Seznam tabulek

Tabulka 1: Limity kontrolérů pro IAP-VPN ................................................................................................................. 4
Tabulka 2: Porovnání jednotlivých režimů pro IAP-VPN ........................................................................................ 4































 

_____
61  
Zpět na obsah


Seznam obrázků

Obrázek 1: Schéma testovací topologie ................................................................................................................... 6
Obrázek 2: Přihlášení do webového rozhraní kontroléru .................................................................................... 7
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru ........................................................... 7
Obrázek 4: Přístup ke správě licencí skrze hlavní menu ...................................................................................... 8
Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru .......................................................................... 8
Obrázek 6: Dialog pro vložení licenčního klíče ....................................................................................................... 8
Obrázek 7: Kontrola stavu licencí pro přidání nových .......................................................................................... 9
Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní ............................................................... 10
Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní ...................................................... 10
Obrázek 10: Menu pro změnu konfiguračního kontextu .................................................................................... 11
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního ............................................................ 11
Obrázek 12: Změna konfiguračního kontextu ....................................................................................................... 11
Obrázek 13: Menu pro přístup ke konfiguraci VLAN ............................................................................................ 11
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu) .............................................................................. 12
Obrázek 15: Nasazení konfigurace nové VLAN do provozu ............................................................................... 12
Obrázek 16: Přístup k nastavení VLAN na portech ............................................................................................... 12
Obrázek 17: Přiřazení VLAN na konkrétní port ...................................................................................................... 13
Obrázek 18: Nasazení konfigurace nové VLAN do provozu ............................................................................... 13
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu ............................................................... 13
Obrázek 20: Zapnutí NAT provoz do internetu ...................................................................................................... 14
Obrázek 21: Kontrola a aktivace nastavení IP adresy ........................................................................................... 14
Obrázek 22: Přidání nové výchozí brány .................................................................................................................. 15
Obrázek 23: Seznam existujících výchozích bran .................................................................................................. 15
Obrázek 24: Aktivace změn po nastavení nové výchozí brány ........................................................................... 15
Obrázek 25: Vytvoření VLAN 111 ............................................................................................................................... 15
Obrázek 26: Aktivace změn po nastavení vytvoření VLAN 111 .......................................................................... 15
Obrázek 27: Zadáni IP adresy pro VLAN 111 ......................................................................................................... 16
Obrázek 28: Přiřazení VLAN 111 ke konkrétnímu portu ..................................................................................... 16
Obrázek 29: Přidání nového NTP serveru ............................................................................................................... 17
Obrázek 30: Aktivace nastavení nového NTP serveru .......................................................................................... 17
Obrázek 31: Menu pro přístup k diagnostickým nástrojům ............................................................................... 17
Obrázek 32: Použití nástroje Ping pro otestování konektivity ............................................................................ 18
Obrázek 33: Výsledek testu konektivity pomocí nástroje Ping .......................................................................... 18
Obrázek 34: Přidání IP poolu pro VPN služby a DNS ........................................................................................... 19
Obrázek 35: Nastavení MAC adresy IAP-VPN do whitelistu ................................................................................ 20
Obrázek 36: Zadaná MAC IAP-VPN ve white listu .................................................................................................. 20
Obrázek 37: Nastavení Aruba IPSec na IAP ............................................................................................................ 21
Obrázek 38: Topologie pro Local IAP-VPN režim .................................................................................................. 23
Obrázek 39: Vytvoření Local DHCP poolu pro VLAN 133 .................................................................................... 23
Obrázek 40: Nastavení parametrů pro VLAN 133 ................................................................................................. 24
Obrázek 41: Vytvoření nového síťového profilu pro VLAN 133 ......................................................................... 24
Obrázek 42: Nastavení názvu a typu síťového profilu pro VLAN 133 ............................................................... 24
Obrázek 43: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 133 ................................................. 25
Obrázek 44: Nastavení zabezpečení pro VLAN 133 .............................................................................................. 25
Obrázek 45: Nastavení ACL pro VLAN 133 .............................................................................................................. 25
Obrázek 46: Přiřazení VLAN 133 ke konkrétnímu portu AP ................................................................................ 25
 

_____
62  
Zpět na obsah
 
 
Obrázek 47: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24 ...................................................... 26
Obrázek 48: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24 ..................................................... 26
Obrázek 49: Zadaná routa ve VC pro 10.0.10.0/24 ............................................................................................... 26
Obrázek 50: Kontrola funkčnosti režimu „Local“ ................................................................................................... 27
Obrázek 51: Topologie pro Local L3 IAP-VPN režim ............................................................................................. 28
Obrázek 52: Vytvoření Local DHCP poolu pro VLAN 144 .................................................................................... 28
Obrázek 53: Nastavení parametrů pro VLAN 144 ................................................................................................. 29
Obrázek 54: Vytvoření nového síťového profilu pro VLAN 144 .......................................................................... 29
Obrázek 55: Nastavení názvu a typu síťového profilu pro VLAN 144 ............................................................... 29
Obrázek 56: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 144 ................................................. 30
Obrázek 57: Nastavení zabezpečení pro VLAN 144 ............................................................................................. 30
Obrázek 58: Nastavení ACL pro VLAN 144 .............................................................................................................. 30
Obrázek 59: Přiřazení VLAN 144 ke konkrétnímu portu AP ................................................................................ 30
Obrázek 60: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24 ...................................................... 31
Obrázek 61: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24 ..................................................... 31
Obrázek 62: Zadaná routa ve VC pro 10.0.10.0/24 ............................................................................................... 31
Obrázek 63: Kontrola funkčnosti režimu „Local L3“ .............................................................................................. 32
Obrázek 64: Topologie pro Centralized L2 IAP-VPN režim ve split-tunnelu .................................................... 33
Obrázek 65: Topologie pro Centralized L2 IAP-VPN režim ve full-tunnelu ...................................................... 33
Obrázek 66: Vytvoření Centralized DHCP pro VLAN 1001 ................................................................................... 34
Obrázek 67: Nastavení parametrů pro VLAN 1001 ............................................................................................... 34
Obrázek 68: Vytvoření nového síťového profilu pro VLAN 1001 ....................................................................... 34
Obrázek 69: Nastavení názvu a typu síťového profilu pro VLAN 1001 ............................................................. 35
Obrázek 70: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 1001 ............................................... 35
Obrázek 71: Nastavení zabezpečení pro VLAN 1001 ........................................................................................... 35
Obrázek 72: Nastavení ACL pro VLAN 1001 ........................................................................................................... 36
Obrázek 73: Přiřazení VLAN 1001 ke konkrétnímu portu AP ............................................................................. 36
Obrázek 74: Kontrola funkčnosti režimu „Centralized L2“ ze strany klienta ................................................... 36
Obrázek 75: Kontrola funkčnosti režimu „Centralized L2“ ze strany korporátní sítě .................................... 37
Obrázek 76: Topologie pro Centralized L3 IAP-VPN režim .................................................................................. 38
Obrázek 77: Vytvoření Centralized DHCP pro VLAN 100 ..................................................................................... 38
Obrázek 78: Nastavení parametrů pro VLAN 100 ................................................................................................. 39
Obrázek 79: Vytvoření nového síťového profilu pro VLAN 100 .......................................................................... 39
Obrázek 80: Nastavení názvu a typu síťového profilu pro VLAN 100 ............................................................... 39
Obrázek 81: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 100 ................................................. 40
Obrázek 82: Nastavení zabezpečení pro VLAN 100 .............................................................................................. 40
Obrázek 83: Nastavení ACL pro VLAN 100 .............................................................................................................. 40
Obrázek 84: Přiřazení VLAN 100 ke konkrétnímu portu AP ................................................................................ 40
Obrázek 85: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24 ...................................................... 41
Obrázek 86: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24 ..................................................... 41
Obrázek 87: Zadaná routa ve VC pro 10.0.10.0/24 ............................................................................................... 41
Obrázek 88: Kontrola funkčnosti režimu „Centralized L3“ ze strany klienta ................................................... 42
Obrázek 89: Kontrola funkčnosti režimu „Centralized L3“ ze strany korporátní sítě .................................... 43
Obrázek 90: Topologie pro Distributed L2 IAP-VPN režim .................................................................................. 44
Obrázek 91: Vytvoření Distributed DHCP pro VLAN 111 ..................................................................................... 44
Obrázek 92: Nastavení parametrů pro VLAN 111 ................................................................................................. 45
Obrázek 93: Nastavení počtu klientů pro VLAN 111 ............................................................................................. 45
Obrázek 94: Nastavení rezervací pro VLAN 111 ..................................................................................................... 45
 

_____
63  
Zpět na obsah

 
Obrázek 95: Vytvoření nového síťového profilu pro VLAN 111 ......................................................................... 45
Obrázek 96: Nastavení názvu a typu síťového profilu pro VLAN 111 ............................................................... 46
Obrázek 97: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 111 ................................................. 46
Obrázek 98: Nastavení zabezpečení pro VLAN 111 .............................................................................................. 46
Obrázek 99: Nastavení ACL pro VLAN 111 .............................................................................................................. 46
Obrázek 100: Přiřazení VLAN 111 ke konkrétnímu portu AP ............................................................................. 47
Obrázek 101: Kontrola funkčnosti režimu „Distributed L2“ ze strany klienta ................................................ 47
Obrázek 102: Kontrola funkčnosti režimu „Distributed L2“ ze strany korporátní sítě ................................. 48
Obrázek 103: Topologie pro Distributed L3 IAP-VPN režim ............................................................................... 49
Obrázek 104: Vytvoření Distributed DHCP pro VLAN 222 .................................................................................. 49
Obrázek 105: Nastavení parametrů pro VLAN 222 .............................................................................................. 50
Obrázek 106: Nastavení počtu klientů pro VLAN 222 .......................................................................................... 50
Obrázek 107: Nastavení rezervací pro VLAN 222 .................................................................................................. 50
Obrázek 108: Vytvoření nového síťového profilu pro VLAN 222 ....................................................................... 50
Obrázek 109: Nastavení názvu a typu síťového profilu pro VLAN 222 ............................................................. 51
Obrázek 110: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 222 ............................................... 51
Obrázek 111: Nastavení zabezpečení pro VLAN 222 ........................................................................................... 51
Obrázek 112: Nastavení ACL pro VLAN 222 ............................................................................................................ 51
Obrázek 113: Přiřazení VLAN 222 ke konkrétnímu portu AP ............................................................................. 52
Obrázek 114: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24 ................................................... 52
Obrázek 115: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24 .................................................. 52
Obrázek 116: Zadaná routa ve VC pro 10.0.10.0/24 ............................................................................................ 52
Obrázek 117: Kontrola funkčnosti režimu „Distributed L3“ ze strany klienta ................................................. 53
Obrázek 118: Kontrola funkčnosti režimu „Distributed L3“ ze strany korporátní sítě ................................. 54














 
_____
64  
Zpět na obsah
 
 
Konfigurační návod Aruba IAP-VPN

Komentáře (0)



Leave message
Your rating:

Štítky

Přihlášení

Registrace