V základu stačí mít „holý“ kontrolér bez licencí. V případě potřeby ACL pro tunel mezi IAP klastrem a kontrolérem je možné volitelně nasadit LIC-VIA, která primárně slouží pro VIA klienty, ale používá se i k možnosti zadání ACL přímo na tunel. Dále, pokud by bylo třeba, je možné volitelně nasadit jednu LIC-PEF, která následně umožní zadávat ACL pravidla na konkrétní ethernetový port či VLAN. Nicméně všechny scénáře, které jsou u IAP-VPN možné, jsou proveditelné i bez těchto volitelných licencí.
IAP je standardně systém bez licencí, takže zde jakékoliv starosti kolem licencování odpadají.
Dále je důležité uvést, že IAP-VPN jde jako IPSec klient připojit i k VPN koncentrátorům třetích stran. Je třeba si ale dát pozor, že ve webovém rozhraní existuje pouze možnost „Aruba IPSec“ a to není standardní IPSec, ale již „přiohnutý“ Arubou k co nejjednoduššímu nasazení IAP-VPN s kontrolérem. Pokud tedy chcete IAP připojit k zařízení třetí strany, tak je třeba použít CLI, kde se již dá nastavit standardní IPSec.
Důležité je vždy sladit parametry pro IPSec tunel na straně VPN koncentrátoru. Základní parametry u IAP-VPN pro obě fáze IPSecu níže.
Před samotnou konfigurací se očekává, že máte připravený kontrolér s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.2). Kontrolér by měl mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měl by být dostupný po IP. Konfigurace je demonstrována na zařízení v režimu standalone.
Schéma testovací topologie ukazuje Obrázek 1. Měla by obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení.
_____
8
Zpět na obsah
Nakonec zkontrolujte, že nově nahrané licence jsou správně nainstalovány a aktivní. Licence pro VIA VPN jsou povoleny automaticky, není tedy nutné je ještě dodatečně zapínat. Viz
Obrázek 7.
Obrázek 7: Kontrola stavu licencí pro přidání nových
Licencování by nyní mělo být vyřešeno a můžete tedy pokračovat v samotné konfiguraci.
4 Zapnutí skrytých voleb
Webové rozhraní AOS 8 ve výchozím stavu skrývá některé typy konfiguračních profilů (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem v dalších částech konfigurace, zapněte si jejich zobrazování rovnou.
V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na Preferences. Viz
Obrázek 8.
Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní
V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem „Save“ nastavení uložte. Viz
Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní
V další části nastavíte nezbytné VLAN a IP parametry.
5 Konfigurace IP konektivity
Zatímco práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, další nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.
Konfigurační kontext změníte klepnutím na tlačítko
vlevo nahoře, viz
Obrázek 10. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz
Obrázek 11.
Obrázek 10: Menu pro změnu konfiguračního kontextu
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního
Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz
Obrázek 12.
Obrázek 12: Změna konfiguračního kontextu
5.1 Nastavení VLAN
VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo výše: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje
Obrázek 13.
Obrázek 13: Menu pro přístup ke konfiguraci VLAN
Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na
. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko „Submit“. Viz
Obrázek 14.
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu)
Následně změny nasaďte klepnutím na tlačítko „Pending Changes“ vpravo nahoře. V okně, které se otevře, můžete zkontrolovat změny v konfiguraci. Klepnutím na tlačítko „Deploy Changes“ se změny aktivují. Viz
Obrázek 15.
Obrázek 15: Nasazení konfigurace nové VLAN do provozu
Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 1001) a následně ji v části Port Members přiřaďte na konkrétní port. Viz
Obrázek 16 a
Obrázek 17. Nastavení nezapomeňte uložit klepnutím na tlačítko „Submit“ vpravo dole.
Obrázek 16: Přístup k nastavení VLAN na portech
_____
12
Zpět na obsah
Obrázek 17: Přiřazení VLAN na konkrétní port
Následně opět změny aktivujte klepnutím na tlačítko „Pending Changes“ vpravo nahoře, respektive tlačítko „Deploy Changes“ v okně, které se zobrazí. Před samotnou aktivací opět můžete zkontrolovat nastavení, jak ukazuje
Obrázek 18.
Obrázek 18: Nasazení konfigurace nové VLAN do provozu
5.2 Nastavení IP parametrů
Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje
Obrázek 19. Nastavení uložte klepnutím na tlačítko „Submit“.
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu
_____
13
Zpět na obsah
Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz
Obrázek 20. V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven. Tímto tedy zajistíme to, že VLAN 111 (kterou přidáme vzápětí) bude mít přístup do internetu skrze naší uplinkovou VLAN.
Obrázek 20: Zapnutí NAT provoz do internetu
I tentokrát nastavení uložte tlačítkem „Submit“ a následně změny aktivujte klepnutím na tlačítko „Pending Changes“, viz
Obrázek 21.
Obrázek 21: Kontrola a aktivace nastavení IP adresy
Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko
a zadejte adresu brány, jak ukazuje
Obrázek 22.
_____
14
Zpět na obsah
Obrázek 22: Přidání nové výchozí brány
Nastavení uložte tlačítkem „Submit“ vpravo dole, brána se objeví v seznamu, viz
Obrázek 23. Nezapomeňte také aktivovat změny jako vždy přes tlačítko „Pending Changes“ vpravo nahoře – viz
Obrázek 24.
Obrázek 23: Seznam existujících výchozích bran
Obrázek 24: Aktivace změn po nastavení nové výchozí brány
V dalším kroku vytvořte VLAN 111 (v kontextu vašeho kontroléru) v sekci Configuration → Interfaces → VLANs → zvolte
a zadejte novou VLAN a potvrďte tlačítkem „Submit“ (viz
Obrázek 25). Aktivujte změny přes tlačítko „Pending Changes“ vpravo nahoře viz
Obrázek 26.
Obrázek 25: Vytvoření VLAN 111
Obrázek 26: Aktivace změn po nastavení vytvoření VLAN 111
_____
15
Zpět na obsah
Nastavte IP adresu pro VLAN viz
Obrázek 27. Potvrďte tlačítkem „Submit“ a „Pending Changes“.
Obrázek 27: Zadáni IP adresy pro VLAN 111
Dále můžete přiřadit VLAN 111 k libovolnému volnému portu na kontroléru. Postupujte dle kroků, které znázorňuje Obrázek 28. Vše pak potvrďte tlačítkem „Pending Changes“. Tento port pak můžete použít k připojení koncového klienta a otestování funkčnosti VIA-VPN.
Obrázek 28: Přiřazení VLAN 111 ke konkrétnímu portu
Nakonec ještě nastavte synchronizaci času pomocí NTP. Přejděte do menu Configuration, System. Na záložce General, v části Clock, klepněte pod tabulkou NTP Servers na tlačítko
, zadejte adresu NTP serveru, případně opravte časové pásmo (není-li nastaveno správně), viz
Obrázek 29. Tlačítkem „Submit“ nastavení uložte a nezapomeňte změny aktivovat – viz
Obrázek 30.
_____
16
Zpět na obsah
Obrázek 29: Přidání nového NTP serveru
Obrázek 30: Aktivace nastavení nového NTP serveru
5.3 Otestování konektivity
Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje
Obrázek 31.
Obrázek 31: Menu pro přístup k diagnostickým nástrojům
Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány, viz
Obrázek 32 a
Obrázek 33.
Obrázek 32: Použití nástroje Ping pro otestování konekti
Obrázek 33: Výsledek testu konektivity pomocí nástroje Ping
Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.
_____
18
Zpět na obsah
6 Konfigurace jednotlivých režimů IAP-VPN
V následující kapitole bude popsáno jak základní nastavení pro zprovoznění VIA-VPN, tak i různé režimy tohoto řešení (Local, Local L2, Distributed L2, Distributed L3, Centralized L2 a Centralized L3).
6.1 Základní nastavení VPN
Jako první nastavte IP DHCP pool, který budou jednotlivé IAP-VPN klastry dostávat. IP rozsah 22.22.22.22 až 22.22.22.222 slouží pouze jako vnitřní „projovačka“ pro navázání IPsec tunelu mezi IAP-VPN a kontrolérem. Poté nastavte DNS a potvrďte tlačítkem „Submit“ (pokud byste chtěli používat nějaké lokální DNS předklady, tak můžete nastavit váš lokální DNS server, viz
Obrázek 34).
Obrázek 34: Přidání IP poolu pro VPN služby a DNS
6.2 Nastavení ověření IAP-VPN na kontroléru
Pro ověření IAP-VPN zadejte MAC adresu master IAP celého klastru do whitelistu (viz
Obrázek 35). Pak potvrďte tlačítkem Submit.
Obrázek 35: Nastavení MAC adresy IAP-VPN do whitelistu
Zadaná MAC adresa IAP-VPN ve whitelistu (viz
Obrázek 36).
Obrázek 36: Zadaná MAC IAP-VPN ve white listu
Dále jděte do CLI kontroléru a zadejte stejnou MAC adresu pro
, viz níže.
Zkontrolujte zadanou MAC adresu pomocí příkazu níže.
6.3 Nastavení IAP-VPN na Instantu
Přihlaste se do instantního AP a proveďte konfiguraci „Aruba IPSec“ tunelu. Jako IP zadejte veřejnou IP kontroléru a protokol bude Aruba IPSec, viz
Obrázek 37.
Obrázek 37: Nastavení Aruba IPSec na IAP
Zkontrolujte v CLI instantního AP, zda se tunel sestavil, viz níže.
V CLI kontroléru můžete provést kontrolu také. Nejprve zkontrolujte, že došlo ke správnému ověření, viz níže.
Dále pak, zda došlo ke správnému sestavení IPSec tunelu. Použijte příkaz níže.
6.4 Local režim IAP-VPN
V režimu „Local“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 133. DHCP server i default GW je u tohoto scénáře též na VC. Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 1001), je klient také za Source-NATem, ale v tomto případě je skryt za vnitřní IP adresu IPSec tunelu. Celá topologie viz
Obrázek 38.
Obrázek 38: Topologie pro Local IAP-VPN režim
Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Local DHCP Scope“, viz
Obrázek 39.
Obrázek 39: Vytvoření Local DHCP poolu pro VLAN 133
_____
23
Zpět na obsah
Všechny parametry nastavte dle obrázku níže (viz
Obrázek 40). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
Obrázek 40: Nastavení parametrů pro VLAN 133
Přejděte do síťového nastavení a vytvořte nový profil, viz
Obrázek 41.
Obrázek 41: Vytvoření nového síťového profilu pro VLAN 133
Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a potvrďte tlačítkem „Next“. Viz
Obrázek 42.
Obrázek 42: Nastavení názvu a typu síťového profilu pro VLAN 133
Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 133 a pokračujte dále tlačítkem „Next“. Viz
Obrázek 43.
Obrázek 43: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 133
Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“. Viz
Obrázek 44.
Obrázek 44: Nastavení zabezpečení pro VLAN 133
Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“. Viz
Obrázek 45.
Obrázek 45: Nastavení ACL pro VLAN 133
Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“. Viz
Obrázek 46.
Obrázek 46: Přiřazení VLAN 133 ke konkrétnímu portu AP
V dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz
Obrázek 47.
Obrázek 47: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24
Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz
Obrázek 48.
Obrázek 48: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24
íže můžete zkontrolovat zadanou routu ve VC, viz
Obrázek 49.
Obrázek 49: Zadaná routa ve VC pro 10.0.10.0/24
Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení. Připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 133. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti; pokud nemáte, tak si nějakého připojte) a následně do internetu, viz
Obrázek 50.
Obrázek 50: Kontrola funkčnosti režimu „Local“
Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.
6.5 Local L3 režim IAP-VPN
V režimu „Local L3“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 144. DHCP server i default GW je u tohoto scénáře též na VC. Klientský provoz směřující do internetu je routován skrze VC a je třeba mít nastavenou zpětnou routu na pobočkovém FW. Při korporátním provozu (VLAN 1001), je klient za Source-NATem a je skryt za vnitřní IP adresu IPSec tunelu. Celá topologie viz
Obrázek 51.
Obrázek 51: Topologie pro Local L3 IAP-VPN režim
Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Local DHCP Scope“, viz
Obrázek 52.
Obrázek 52: Vytvoření Local DHCP poolu pro VLAN 144
Všechny parametry nastavte dle obrázku níže (viz
Obrázek 53). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
Obrázek 53: Nastavení parametrů pro VLAN 144
Přejděte do síťového nastavení a vytvořte nový profil, viz
Obrázek 54.
Obrázek 54: Vytvoření nového síťového profilu pro VLAN 144
Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz
Obrázek 55.
Obrázek 55: Nastavení názvu a typu síťového profilu pro VLAN 144
Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 144 a pokračujte dále tlačítkem „Next“, viz
Obrázek 56.
Obrázek 56: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 144
Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz
Obrázek 57.
Obrázek 57: Nastavení zabezpečení pro VLAN 144
Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz
Obrázek 58.
Obrázek 58: Nastavení ACL pro VLAN 144
Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz
Obrázek 59.
Obrázek 59: Přiřazení VLAN 144 ke konkrétnímu portu AP
Pokud jste tak již neučinili dříve, tak v dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz
Obrázek 60.
Obrázek 60: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24
Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz
Obrázek 61.
Obrázek 61: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24
Níže můžete zkontrolovat zadanou routu ve VC, viz
Obrázek 62.
Obrázek 62: Zadaná routa ve VC pro 10.0.10.0/24
Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení. Připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 144. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz
Obrázek 63.
Obrázek 63: Kontrola funkčnosti režimu „Local L3“
Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.
6.6 Centralized L2 režim IAP-VPN
Režim „Centralized L2“ zajišťuje L2 VPN. DHCP server i default GW je u tohoto scénáře na kontroléru, nebo v datacentru (v našem testovacím prostředí máme DHCP i GW pro VLAN 1001 v korporátním routeru). Klientský provoz směřující do internetu je možné v tomto případě řešit dvěma způsoby. První je Source-NAT za IP adresou VC (režim split-tunnel), druhý způsob je tunelovat provoz do internetu v L2 režimu (full-tunnel). Při korporátním provozu (VLAN 1001) je klient kompletně v L2 režimu. Celá topologie ve split-tunnelu viz
Obrázek 64. Topologie ve full-tunnelu viz
Obrázek 65.
Obrázek 64: Topologie pro Centralized L2 IAP-VPN režim ve split-tunnelu
Obrázek 65: Topologie pro Centralized L2 IAP-VPN režim ve full-tunnelu
Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Centralized DHCP Scope“, viz
Obrázek 66.
Obrázek 66: Vytvoření Centralized DHCP pro VLAN 1001
Všechny parametry nastavte dle obrázku níže (viz
Obrázek 67). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
Obrázek 67: Nastavení parametrů pro VLAN 1001
Přejděte do síťového nastavení a vytvořte nový profil, viz
Obrázek 68.
Obrázek 68: Vytvoření nového síťového profilu pro VLAN 1001
Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz
Obrázek 69.
Obrázek 69: Nastavení názvu a typu síťového profilu pro VLAN 1001
Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 1001 a pokračujte dále tlačítkem „Next“, viz
Obrázek 70.
Obrázek 70: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 1001
Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz
Obrázek 71.
Obrázek 71: Nastavení zabezpečení pro VLAN 1001
Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz
Obrázek 72.
Obrázek 72: Nastavení ACL pro VLAN 1001
Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz
Obrázek 73.
Obrázek 73: Přiřazení VLAN 1001 ke konkrétnímu portu AP
Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 1001. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz
Obrázek 74.
Obrázek 74: Kontrola funkčnosti režimu „Centralized L2“ ze strany klienta
Dále můžete vyzkoušet dostupnost VLAN 100 přímo z korporátní VLAN 1001. Zkuste ping na IP vašeho klienta ve VLAN 100, viz
Obrázek 75.
Obrázek 75: Kontrola funkčnosti režimu „Centralized L2“ ze strany korporátní sítě
Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.
6.7 Centralized L3 režim IAP-VPN
V režimu „Centralized L3“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 100. DHCP server je v korporátním FW a pro VC slouží jako DHCP relay agent. Default GW je přímo na VC. Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 1001), je klient routován z VLAN 100 do VLAN 1001, jelikož se jedná o L3 provoz (a GW pro VLAN 1001 je v korporátním FW), tak je třeba mít, pro dostupnost VLAN 100 z korporátní sítě, zpětnou routu na korporátním FW, kde cíl bude VLAN 100 a GW IP adresa kontroléru z VLAN 1001. Celá topologie viz
Obrázek 76.
Obrázek 76: Topologie pro Centralized L3 IAP-VPN režim
Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Centralized DHCP Scope“, viz
Obrázek 77.
Obrázek 77: Vytvoření Centralized DHCP pro VLAN 100
Všechny parametry nastavte dle obrázku níže (viz
Obrázek 78). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
Obrázek 78: Nastavení parametrů pro VLAN 100
Přejděte do síťového nastavení a vytvořte nový profil, viz
Obrázek 79.
Obrázek 79: Vytvoření nového síťového profilu pro VLAN 100
Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz
Obrázek 80.
Obrázek 80: Nastavení názvu a typu síťového profilu pro VLAN 100
Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 100 a pokračujte dále tlačítkem „Next“, viz
Obrázek 81.
Obrázek 81: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 100
Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz
Obrázek 82.
Obrázek 82: Nastavení zabezpečení pro VLAN 100
Zde můžete zadat ACL, pokud je třeba V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz
Obrázek 83.
Obrázek 83: Nastavení ACL pro VLAN 100
Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz
Obrázek 84.
Obrázek 84: Přiřazení VLAN 100 ke konkrétnímu portu AP
Pokud jste tak již neučinili dříve, tak v dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz
Obrázek 85.
Obrázek 85: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24
Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz
Obrázek 86.
Obrázek 86: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24
íže můžete zkontrolovat zadanou routu ve VC, viz
Obrázek 87.
Obrázek 87: Zadaná routa ve VC pro 10.0.10.0/24
Příkazem níže zkontrolujte, zda se routa z vašeho IAP-VPN DHCP scope propsala do kontroléru. Konkrétně jde o routu s příznakem „V“.
Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 100. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz
Obrázek 88.
Obrázek 88: Kontrola funkčnosti režimu „Centralized L3“ ze strany klienta
Dále můžete vyzkoušet dostupnost VLAN 100 přímo z korporátní VLAN 1001. Zkuste ping na IP vašeho klienta ve VLAN 100, viz
Obrázek 89.
Obrázek 89: Kontrola funkčnosti režimu „Centralized L3“ ze strany korporátní sítě
Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.
6.8 Distributed L2 režim IAP-VPN
Režim „Distributed L2“ zajišťuje L2 VPN. DHCP server je na virtuálním kontroléru (VC) a default GW je na kontroléru nebo v datacentru (v našem testovacím prostředí máme GW pro VLAN 111 na kontroléru). V tomto scénáři je použita jako korporátní VLAN 111 (z důvodu vyzkoušení IAP-VPN do VLAN zakončené přímo na kontroléru). Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 111) je klient kompletně v L2 režimu. Celá topologie viz
Obrázek 90.
Obrázek 90: Topologie pro Distributed L2 IAP-VPN režim
Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Distributed DHCP Scope“, viz
Obrázek 91.
Obrázek 91: Vytvoření Distributed DHCP pro VLAN 111
Všechny parametry nastavte dle obrázku níže (viz
Obrázek 92). Pokračujte tlačítkem „Next“.
Obrázek 92: Nastavení parametrů pro VLAN 111
Nastavte počet klientů, který bude na konkrétní pobočce a pokračujte tlačítkem „Next“, viz
Obrázek 93.
Obrázek 93: Nastavení počtu klientů pro VLAN 111
Pokud budete v síti používat statické IP, tak si zde nastavte počty rezervací od spodní a horní hranice DHCP poolu, vše potvrďte tlačítkem „Finish“ (viz
Obrázek 94). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
Obrázek 94: Nastavení rezervací pro VLAN 111
Přejděte do síťového nastavení a vytvořte nový profil, viz
Obrázek 95.
Obrázek 95: Vytvoření nového síťového profilu pro VLAN 111
Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz
Obrázek 96.
Obrázek 96: Nastavení názvu a typu síťového profilu pro VLAN 111
Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 111 a pokračujte dále tlačítkem „Next“, viz
Obrázek 97.
Obrázek 97: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 111
Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz
Obrázek 98.
Obrázek 98: Nastavení zabezpečení pro VLAN 111
Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz
Obrázek 99.
Obrázek 99: Nastavení ACL pro VLAN 111
Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz
Obrázek 100.
Obrázek 100: Přiřazení VLAN 111 ke konkrétnímu portu AP
Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 111. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz
Obrázek 101.
Obrázek 101: Kontrola funkčnosti režimu „Distributed L2“ ze strany klienta
Dále můžete vyzkoušet dostupnost VLAN 111 mezi klienty, ideálně aby druhý klient byl přímo v datacentru, viz
Obrázek 75 (v příkladu na obrázku je testovací klient switch, ale můžete klienta libovolného).
Obrázek 102: Kontrola funkčnosti režimu „Distributed L2“ ze strany korporátní sítě
Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.
6.9 Distributed L3 režim IAP-VPN
V režimu „Distributed L3“ se používá VLAN vytvořená přímo na virtuálním kontroléru (VC), v našem případě to je VLAN 222. DHCP server i default GW je ve VC. Klientský provoz směřující do internetu je za Source-NATem a klient vystupuje IP adresou VC. Při korporátním provozu (VLAN 1001), je klient routován z VLAN 222 do VLAN 1001, jelikož se jedná o L3 provoz (a GW pro VLAN 1001 je v korporátním FW), tak je třeba mít, pro dostupnost VLAN 222 z korporátní sítě, zpětnou routu na korporátním FW, kde cíl bude VLAN 222 a GW IP adresa kontroléru z VLAN 1001. Celá topologie viz
Obrázek 103.
Obrázek 103: Topologie pro Distributed L3 IAP-VPN režim
Následně přistupte k samotné konfiguraci. Nejprve vytvořte nový „Distributed DHCP Scope“, viz
Obrázek 104.
Obrázek 104: Vytvoření Distributed DHCP pro VLAN 222
Všechny parametry nastavte dle obrázku níže (viz
Obrázek 105). Pokračujte tlačítkem „Next“.
Obrázek 105: Nastavení parametrů pro VLAN 222
Nastavte počet klientů, který bude na konkrétní pobočce a pokračujte tlačítkem „Next“, viz
Obrázek 106.
Obrázek 106: Nastavení počtu klientů pro VLAN 222
kud budete v síti používat statické IP, tak si zde nastavte počty rezervací od spodní a horní hranice DHCP poolu, vše potvrďte tlačítkem „Finish“ (viz
Obrázek 107). Celou konfiguraci nezapomeňte uložit tlačítkem „Save“.
Obrázek 107: Nastavení rezervací pro VLAN 222
Přejděte do síťového nastavení a vytvořte nový profil, viz
Obrázek 108.
Obrázek 108: Vytvoření nového síťového profilu pro VLAN 222
Pojmenujte si VLAN a jako type zadejte Wired (pokud chcete použít VPN na SSID a nikoliv na fyzickém portu, tak zvolte Wireless a nechte se vést průvodcem, celá konfigurace je velice podobná jako pro fyzický port) a povrďte tlačítkem „Next“, viz
Obrázek 109.
Obrázek 109: Nastavení názvu a typu síťového profilu pro VLAN 222
Na další záložce zvolte mód portu a vyberte vámi vytvoření DHCP scope pro VLAN 100 a pokračujte dále tlačítkem „Next“, viz
Obrázek 110.
Obrázek 110: Nastavení módu portu a přiřazení DHCP poolu pro VLAN 222
Tato záložka umožnuje nastavit zabezpečení portu. Pro naše účely můžeme nechat beze změny (pozor, pokud zvolíte Trusted, bude vše normálně fungovat, ale na VC nebudou viditelní Wired klienti), pokračujte tlačítkem „Next“, viz
Obrázek 111.
Obrázek 111: Nastavení zabezpečení pro VLAN 222
Zde můžete zadat ACL, pokud je třeba. V našem případě necháme nastavení tak, jak je a znovu volbu potvrdíme tlačítkem „Next“, viz
Obrázek 112.
Obrázek 112: Nastavení ACL pro VLAN 222
Dále přiřaďte vytvořený profil libovolnému portu (v případě, že konfiguruje SSID, tak bude tato záložka samozřejmě chybět) a vše potvrďte tlačítkem „Finish“, viz
Obrázek 113.
Obrázek 113: Přiřazení VLAN 222 ke konkrétnímu portu AP
Pokud jste tak již neučinili dříve, tak v dalším kroku vytvořte routu, která bude posílat korporátní provoz do tunelu, viz
Obrázek 114.
Obrázek 114: Vytvoření routy pro tunelování korporátní sítě 10.0.10.0/24
Zadejte korporátní IP rozsah a jako GW IP adresu VPN koncentrátoru (kontroléru) pro IPSec tunel, viz
Obrázek 115.
Obrázek 115: Nastavení routy pro tunelování korporátní sítě 10.0.10.0/24
Níže můžete zkontrolovat zadanou routu ve VC, viz
Obrázek 116.
Obrázek 116: Zadaná routa ve VC pro 10.0.10.0/24
Příkazem níže zkontrolujte, zda se routa z vašeho IAP-VPN DHCP scope propsala do kontroléru, konkrétně jde o routu s příznakem „V“.
Teď je již vše potřebné nastaveno a můžete provést kontrolu funčnosti nastavení, připojte si klienta na zvolený port (případně SSID) a zkontrolujte, zda dostane IP adresu z VLAN 222. Poté vyzkoušejte dostupnost korporátní sítě (např. ping na nějakého klienta v síti, pokud nemáte, tak si nějakého připojte) a následně do internetu, viz
Obrázek 117.
Obrázek 117: Kontrola funkčnosti režimu „Distributed L3“ ze strany klienta
Dále můžete vyzkoušet dostupnost VLAN 100 přímo z korporátní VLAN 1001. Zkuste ping na IP vašeho klienta ve VLAN 100, viz
Obrázek 118.
Obrázek 118: Kontrola funkčnosti režimu „Distributed L3“ ze strany korporátní sítě
Jako poslední krok v této kapitole můžete zkontrolovat IAP-VPN tunel pomocí příkazu níže. Měli byste dostat velmi podobný výstup.
7 Diagnostika
7.1 Troubleshooting na kontroléru
Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování nejčastějších potíží, určitě nepopisují všechny možné situace.
7.1.1 Práce se systémovým logem
V příkladech níže si zejména všimněte, že různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.
Zobrazení posledních 10 zpráv v systémovém logu kontroléru:
Zobrazení poslední 10 zpráv v systémovém logu, které se týkají bezpečnosti a podobně:
Zobrazení poslední 10 chybových zpráv v systémovém logu kontroléru:
Zobrazení posledních 10 zpráv v systémovém logu, které se týkají přihlašování uživatelů:
7.1.2 Získávání informací o aktivních uživatelích
Seznam aktivních uživatelů a informací o nich (role, zdrojová IP adresa a další):
7.1.3 Získávání informací o IPsec spojeních
Obecně jsou všechny podstatné informace o IPsec dostupné pod menu
(*1) . K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI(*2) (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).
Zobrazení informací o IPsec spojeních a jejich parametrech:
Zobrazení podrobných informací o konkrétní IPsec protistraně:
__________________________________________
Zobrazení informací o ISAKMP spojeních a jejich parametrech:
Detailní informace o konkrétním ISAKMP spojení:
Seznam tabulek
Seznam obrázků