Obsah
1 Představení Aruba VPN RAP (Remote Access Point)
Aruba RAP může zajišťovat řešení pro zabezpečený přístup koncových klientů (či jiné firemní infrastruktury) do podnikové sítě. Pomocí toho řešení tedy lze snadno a rychle vytvořit novou firemní pobočku či náročnější domácí kancelář.
RAP sestavuje zabezpečené šifrované spojení (k řídícímu kontroléru) pomocí protokolu IPsec. Ověření RAPu pak probíhá pomocí MAC adresy a certifikátu nebo pomocí MAC adresy a předem nastaveného klíče (hesla). V případě potřeby je možno doplnit standardní druhy šifrování o „Suite B“ kryptografii, na což je pak ale třeba speciální licence LIC-ACR (Advanced Cryptography). Lze volit mezi různými režimy provozu a to tunelem (veškerá data jsou tunelovány do kontroléru a zpět, včetně provozu do internetu, klient pak vystupuje skrze firemní veřejnou IP), split-tunelem (pouze provoz určený pro firemní síť jde do tunelu a zbytek pak jde skrze lokální síť, tedy klient přistupuje do internetu skrze veřejnou adresu svého domácího routeru, pro tento režim je nutná LIC-PEF) a bridgem (např. pro zajištění lokální/domácí SSID, tento provoz je pouze lokální a není nikam tunelován). RAP zajistí L2 transparentní tunel (data tečou v GRE tunelu), který je zabalen do IPsecu.
V reálném provozu pak musí být kontrolér buď na veřejné IP, nebo musí být zajištěn překlad portů na jeho lokální IP adresu. Použité porty jsou 500 a 4500 oba UDP.
Více informací možno nalézt na
https://www.arubanetworks.com/assets/so/SG_Remote-Access-Point.pdf.
1.1 Licencování
Licencování je zde velice jednoduché. Pro zprovoznění tohoto řešení nejsou třeba žádné speciální licence a stačí pouze standardní licence pro AP (LIC-AP), podle počtu provozovaných AP/RAP. Popřípadě LIC-PEF při nutnosti používání firewallu přímo na kontroléru. LIC-PEF je také nezbytná pro režim split-tunel, bez této licence jej nejde realizovat.
1.2 Základní informace
Čistokrevné RAPy fungují jen jako standanlone nebo v režimu s kontrolérem a nedají se připojit do Aruba Instant clusteru, aktuálně je ale jediný specializovaný RAP model RAP-203R. Dále je vhodné jako RAPy použít AP z řad H (hospitality). Aktuálně AP-203H, 303H a 505H. Výhodou RAPů a hospitality AP je, že mají větší množství rozšiřujících portů pro snadné vytvoření pobočky, či domácí kanceláře. Do RAP režimu jdou ale přepnout všechna AP (instantní i kampusová).
2 Topologie pro tento návod a prerekvizity
Před samotnou konfigurací se očekává, že máte připravený kontrolér s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.2). Kontrolér by měl mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měl by být dostupný po IP. Konfigurace je demonstrována na zařízení v režimu standalone.
Schéma testovací topologie ukazuje Obrázek 1. Měla by obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení.
Obrázek 1: Schéma testovací topologie |
_____
4
3 Nahrání licencí do kontroléru
Před začátkem konfigurace je nutné zalicencovat kontrolér, viz část 1 na straně 3. Pokud jste již licence do kontroléru nahráli, můžete tuto část přeskočit. V opačném případě následujte instrukce níže.
Nejprve si připravte licenční klíče. Získáte je aktivací v licenčním portálu, který používáte. V době vzniku tohoto návodu je to buď My Networking portál, nebo novější ASP (Aruba Support Portal). Nezapomeňte, že už máte pro konkrétní kontrolér aktivované nějaké licence a budete chtít aktivovat další, je třeba to provést pod stejným účtem, pod kterým jsou vedeny ostatní aktivní licence.
Nyní se přihlaste do webového rozhraní kontroléru. Má-li kontrolér IP adresu například 172.16.0.254, pak je management běžně na adrese
https://172.16.0.254:4343. Viz Obrázek 2.
Obrázek 2: Přihlášení do webového rozhraní kontroléru |
Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz Obrázek 3.
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru |
Dále v hlavním menu vyberte položku License v části Configuration (viz Obrázek 4).
Obrázek 4: Přístup ke správě licencí skrze hlavní menu |
Na stránce, která se otevře, uvidíte aktuální stav nahraných licencí – protože kontrolér není ještě zalicencovaný, měly by počty být stejné, jako ukazuje Obrázek 5.
Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru |
Na téže stránce přejděte do části Inventory a klepnutím na

symbol otevřete dialog pro přidání nových licencí. V okně, které se otevře (viz Obrázek 6), zadejte licenční klíč pro LIC-AP funkcionalitu a potvrďte ho klepnutím na tlačítko OK (případně zadejte další vaše licenční klíče).
Obrázek 6: Dialog pro vložení licenčního klíče |
_____
6
Zpět na obsah
Nakonec zkontrolujte, že nově nahrané licence jsou správně nainstalovány a aktivní. Licence pro VIA VPN jsou povoleny automaticky, není tedy nutné je ještě dodatečně zapínat. Viz Obrázek 7.
Obrázek 7: Kontrola stavu licencí pro přidání nových |
Licencování by nyní mělo být vyřešeno a můžete tedy pokračovat v samotné konfiguraci.
_____
7
Zpět na obsah
4 Zapnutí skrytých voleb
Webové rozhraní AOS 8 ve výchozím stavu skrývá některé typy konfiguračních profilů (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem v dalších částech konfigurace, zapněte si jejich zobrazování rovnou.
V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na Preferences. Viz Obrázek 8.
Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní |
V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem Save nastavení uložte. Viz
Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní |
V další části nastavíte nezbytné VLAN a IP parametry.
_____
8
Zpět na obsah
5 Konfigurace IP konektivity
Zatímco práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, další nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.
Konfigurační kontext změníte klepnutím na tlačítko

vlevo nahoře, viz Obrázek 10. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz Obrázek 11.
Obrázek 10: Menu pro změnu konfiguračního kontextu |
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního |
Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz Obrázek 12.
Obrázek 12: Změna konfiguračního kontextu |
5.1 Nastavení VLAN
VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo výše: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje Obrázek 13.
Obrázek 13: Menu pro přístup ke konfiguraci VLAN |
Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na

. V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 14.
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu) |
Následně změny nasaďte klepnutím na tlačítko Pending Changes vpravo nahoře. V okně, které se otevře, můžete zkontrolovat změny v konfiguraci. Klepnutím na tlačítko Deploy Changes se změny aktivují. Viz Obrázek 15.
Obrázek 15: Nasazení konfigurace nové VLAN do provozu |
Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 190) a následně ji v části Port Members přiřaďte na konkrétní port. Viz Obrázek 16 a Obrázek 17. Nastavení nezapomeňte uložit klepnutím na tlačítko Submit vpravo dole.
Obrázek 16: Přístup k nastavení VLAN na portech |
Obrázek 17: Přiřazení VLAN na konkrétní port |
Následně opět změny aktivujte klepnutím na tlačítko Pending Changes vpravo nahoře, respektive tlačítko Deploy Changes v okně, které se zobrazí. Před samotnou aktivací opět můžete zkontrolovat nastavení, jak ukazuje Obrázek 18.
Obrázek 18: Nasazení konfigurace nové VLAN do provozu |
5.2 Nastavení IP parametrů
Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 19. Nastavení uložte klepnutím na tlačítko Submit.
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu |
Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz Obrázek 20. V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven.
Obrázek 20: Zapnutí NAT provoz do internetu |
I tentokrát nastavení uložte tlačítkem Submit a následně změny aktivujte klepnutím na tlačítko Pending Changes, viz Obrázek 21.
Obrázek 21: Kontrola a aktivace nastavení IP adresy |
_____
12
Zpět na obsah
Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko
a zadejte adresu brány, jak ukazuje Obrázek 22.
Obrázek 22: Přidání nové výchozí brány |
Nastavení uložte tlačítkem Submit vpravo dole, brána se objeví v seznamu, viz Obrázek 23. Nezapomeňte také aktivovat změny jako vždy přes tlačítko Pending Changes vpravo nahoře – viz Obrázek 24.
Obrázek 23: Seznam existujících výchozích bran |
Obrázek 24: Aktivace změn po nastavení nové výchozí brány |
Nakonec ještě nastavte synchronizaci času pomocí NTP. Přejděte do menu Configuration, System. Na záložce General, v části Clock, klepněte pod tabulkou NTP Servers na tlačítko
, zadejte adresu NTP serveru, případně opravte časové pásmo (není-li nastaveno správně), viz Obrázek 25. Tlačítkem Submit nastavení uložte a nezapomeňte změny aktivovat – viz Obrázek 26.
_____
13
Zpět na obsah
Obrázek 25: Přidání nového NTP serveru |
Obrázek 26: Aktivace nastavení nového NTP serveru |
5.3 Otestování konektivity
Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje Obrázek 27.
Obrázek 27: Menu pro přístup k diagnostickým nástrojům |
Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány, viz Obrázek 28 a Obrázek 29.
_____
14
Zpět na obsah
Obrázek 28: Použití nástroje Ping pro otestování konektivity |
Obrázek 29: Výsledek testu konektivity pomocí nástroje Ping |
Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.
_____
15
Zpět na obsah
6 Konfigurace RAPu
V následující kapitole bude popsáno jak základní nastavení pro zprovoznění RAPu, tak i různé pokročilejší konfigurační možnosti (tunel, split-tunel, bridge a podobně).
6.1 Základní nastavení VPN
Jako první krok je třeba nastavit IKEv2, viz návod níže (Obrázek 30). EAP passthrough zvolte pouze v případě, že používáte v síti 802.1x ověření uživatelů a chcete, aby bylo terminováno na externím RADIUS serveru, pokud byste používali (např. pro SSID) interní databázi kontroléru, tak je třeba nechat políčka nezaškrtnutá a terminace 802.1x bude probíhat lokálně na kontroléru. Potvrďte tlačítkem Submit.
Obrázek 30: Základní nastavení VPN pro RAP, IKEv2 |
Dále nastavte IP DHCP pool, který budou jednotlivé RAPy dostávat. Je to jen vnitřní adresace pro RAPy a nebude dále nikde figurovat. Poté nastavte DNS a potvrďte tlačítkem Submit (pokud byste chtěli používat nějaké lokální DNS předklady, tak můžete nastavit váš lokální DNS server, viz Obrázek 31).
_____
16
Zpět na obsah
Obrázek 31: Přidání IP poolu pro VPN služby a DNS |
6.2 Vytvoření a nastavení AP skupiny
Stejně jako u klasického AP musí být RAP přiřazen do své AP skupiny (AP Group). Nejprve si tedy vytvořte AP Group, která bude odkazovat na veškerou konfiguraci pro daný RAP. Postupujte, viz Obrázek 32 níže. Zadejte název nové skupiny a potvrďte tlačítkem Submit.
Obrázek 32: Vytvoření nové AP skupiny |
Dále klikněte na novou skupinu, ve skupině označte nabídku AP a port E0. Tento port by měl zůstat se základním nastavením. Slouží jako uplink a ve většině případů na něm není třeba nic nastavovat. Pouze tedy zkontrolujte, že je zde opravdu nastaven profil „default“ (viz Obrázek 33).
Obrázek 33: Kontrola nastavení uplinkového portu E0 |
Dalším krokem je vytvoření nového „AP wired“ profilu pro port E1, který bude propagovat VLAN 1, která reprezentuje firmení síť, postup viz návod níže. Na tomto portu RAPu tedy bude L2 tunelovaná VLAN 1 přímo z firemní infrastruktury. Vytvořte nový profil (viz Obrázek 34).
Obrázek 34: Vytvoření nového „AP wired“ profilu pro E1 |
Zadejte jméno profilu a jeho konfiguraci nechte beze změn (viz Obrázek 35), potvrďte tlačítkem Submit.
Obrázek 35: Nastavení „AP wired“ profilu pro E1 |
_____
18
Zpět na obsah
Dále vytvořte nový „Wired AP profile“ a opět nastavte dle návodu níže (viz Obrázek 36). Potvrďte tlačítkem „Submit“ a „Pending Changes“.
Obrázek 36: Vytvoření a nastavení nového „Wired AP“ profilu pro E1 |
Pokud by bylo třeba na různých portech nastavit různé VLAN, tak je třeba opakovat postup výše (tzn. vytvořit znovu příslušné profily) a k daným portům přiřadit profily podle potřebného natavení VLAN. Samozřejmě můžete port na RAPu přepnout do trunk módu a tím poslat více VLAD ID např. do swicthe, který můžete za RAP také připojit a tím libovolně rozšířit svou VLAN infrastrukturu na svou pobočku. Pozor, pokud změníte nastavení pod stávajícím profilem (profil „default“), tak se změny propíší všude tam, kde je profil použit a to i napříč všemi AP skupinami.
6.3 Nastavení ověření RAPu
Pro ověření RAPu je třeba zadat MAC adresu RAPu, který budeme konvertovat na RAP mód, do white listu – viz Obrázek 37. Pak potvrďte tlačítkem Submit.
Obrázek 37: Nastavení MAC adresy rapu do white listu |
Zadaná MAC RAPu ve white listu (viz Obrázek 38).
Obrázek 38: Zadaná MAC RAPu ve white listu |
Způsob ověření RAPu výše je používán v základním nastavení. Touto metodou se ověřuje MAC adresa RAPu a dále pak ještě správnost certifikátu v TPM modulu, konkrétního RAPu. Druhá varianta je použít MAC adresu a přednastavený klíč (heslo). Postup nastavení s heslem je popsán v kapitole 6.4.3 níže v textu.
6.4 Zkonvertování AP do RAP módu a nasazení v tunel módu
V této podkapitole budou popsány dva způsoby převedení AP do RAP módu. První možnost je zkonvertování instantního AP. Druhá je pak převedení kampusového AP (AP které již řídí kontrolér) do RAP módu. Dále zde bude uvedena ukázka konfigurace RAPu pro full-tunel módu (tedy veškerý provoz půjde přes centrální kontrolér, včetně provozu do internetu).
6.4.1 Zkonvertování instantního AP do RAP módu
Každý RAP, od modelu RAP3, funguje jako samostatné instantní AP a je ho tedy nutné konvertovat do RAP (Remote Access Point) módu.
Uplinkový kabel zapojte do portu E0 na RAPu, kde v základním nastavení očekává uplink do internetu. RAP očekává IP adresu z DHCP z příslušného LAN rozsahu s přístupen do internetu. Pokud by nebylo možné použít DHCP, můžete samozřejmě RAPu nastavit statickou IP adresu. Přibližně do 10 minut začne vysílat SSID „SetMeUp-XX:XX:XX“ (XX:XX:XX zde představuje konec MAC adresy daného RAPu), u starších firmwarů bude svítit SSID „instant“ (viz Obrázek 39).
Obrázek 39: Tovární SSID pro základní konfiguraci instantu |
Připojte se k tomuto SSID. Po připojení zadejte jakékoliv URL do prohlížeče. Instant provede sám přesměrování na konfigurační rozhraní. Základní přihlašovací údaje jsou admin/admin nebo na nejnovějších firmwarech admin/„sérové číslo AP“ (viz Obrázek 40). Příklady níže jsou uvedeny ze staršího webového rozhraní Instantu (firmware do Aruba InstantOS 8.3.x.x). Firmware od Aruba InstantOS 8.4.x.x již má jiný, modernější vzhled, nicméně konverze se nastavuje ve stejných nabídkách a dá se tak s příkladu níže pohodlně vycházet i pro nové webové rozhraní.
Obrázek 40: Přihlašovací stránka Aruba Instant |
Country code zvolte Czech Republic. A dále běžte do menu Maintenance -> Convert. Zvolte „Remote APs managed by a Mobility Controller“ a zadejte adresu vašeho kontroléru, v našem testovací scénáři nám simuluje internet síť 192.168.190.0/24, kde 192.168.190.254 je brána a 192.168.190.1 je kontrolér. V našem případě tedy zadejte 192.168.190.1 (v reálné instalaci toto bude veřejné adresa kontroléru, nebo případně překlad z veřejné adresy na lokální IP kontroléru). Dále vše potvrďte tlačítkem „Convert Now“ (viz Obrázek 41).
Obrázek 41: Konverze instantního AP na RAP |
Příklad průběhu konverze můžete vidět níže (viz Obrázek 42, Obrázek 43 a Obrázek 44).
Obrázek 42: Průběh konverze RAPu – stahování informací |
Obrázek 43: Průběh konverze RAPu – příprava konverze |
Obrázek 44: Průběh konverze RAPu – dokončení konverze |
RAP si stáhne nový firmware z kontroléru a restartuje se. Následně by již měl naběhnout v remote módu a měl by být viditelný v záložce zobrazené níže (viz Obrázek 45).
Obrázek 45: Správně zkonvertované instantní AP na RAP |
Na portu E1 by tímto měla být tunelovaná VLAN 1 a měla by se tvářit jako transparentní L2 firemní síť. Pokud máte AP pouze s jedním ethernetovým portem, tak si vytvořte SSID (stačí jednoduché SSID s WPA2 ověřováním) pro „AP Group“ kde máte přiřazen RAP a jako tunelovanou VLAN dejte právě VLAN 1. Nakonec můžete zkontrolovat, že máte přístup skutečně přístup do VLAN 1, která je v tomto příkladu simulována sítí 172.16.0.0/24. Například „opingejte“ LAN adresu kontroléru, viz Obrázek 46.
Obrázek 46: Otestování tunelu z RAPu skrze klientský počítač |
Dále můžete ověřit, zda je provoz opravdu ve full-tunelu (tzn. i komunikace do internetu by měla jít skrze centrální kontrolér a jeho veřejnou IP adresu). Toto můžete otestovat, např. pomocí online nástroje na adrese
https://www.mojeip.cz. Stránka by měla zobrazit veřejnou IP adresu kontroléru (toto se samozřejmě projeví pouze, pokud máte opravdu RAP připojen skrze internet, tak jak předpokládá topologie v úvodu).
Teď se podívejte, zda je klient viditelný na kontroléru (viz Obrázek 47).
Obrázek 47: Kontrola připojeného klienta |
Neměli byste ho být schopni najít, protože jste dříve v návodu nastavili E1 jako „trusted“ (viz Obrázek 36). Pokud je port takto nastaven, tak kontrolér na něj neuplatňuje žádná firewallová pravidla a ani klienty na něm nijak nemonitoruje. Jestliže chcete tento stav změnit, tak je třeba port udělat „untrusted“ (viz Obrázek 48). A dále pak nastavit příslušný AAA profil (viz Obrázek 70, Obrázek 71 a Obrázek 72). Kontrolu klienta pak můžete provést, viz Obrázek 75.
Obrázek 48: Změna portu E1 na „untrusted“ |
Pokud byste chtěli udělat konverzi přes SSH či sériovou konzoli, tak můžete jít přímo do CLI Instantu. SSH je standardně povoleno a lokální konzole používá rychlost 9600 bit/s. Pak se stačí přihlásit pomocí stejných přihlašovacích údajů jako do webového rozhraní a zadat příkaz níže.
6.4.2 Zkonvertování campusového AP do RAP módu
Pokud budete do RAP módu převádět již existující AP v campus módu, je postup velmi jednoduchý. Označte konkrétní AP, změňte AP skupinu, zvolte IP adresu, kam se bude RAP připojovat (192.168.190.1). Tzn. lokální IP pro campus AP nahraďte za remote IP (většinou veřejná IP adresa), za kterou je dostupný kontrolér pro IPsec. Submit a Continue & Reboot (viz Obrázek 49).
Obrázek 49: Konverze AP z campus módu na RAP |
Pokud vše proběhne hladce, tak se RAP zobrazí, viz Obrázek 50 níže.
Obrázek 50: Správně zkonvertované campusové AP na RAP
Pokud jste použili tuto variantu, tak následně ověřte funkčnost konfigurace, viz strana 23.
6.4.3 Změna ověření RAPu na předsdílený klíč
Pokud byste chtěli použít k ověření RAPu místo certifikátu přednastavený klíč, tak je toto třeba změnit v provisioningu AP. Může se hodit např. v případě, že používáte virtualizovaný kontrolér, kde není TMP modul a toto může být nejrychlejší způsob jak RAP dostat na kontrolér bez ověřování certifikátu. K přednastavenému klíči vždy ještě musíte zvolit ověření konkrétního AP uživatelským jménem a heslem. První možnost je „Global User Name“, což je jednotné uživatelské jméno a heslo pro všechna AP per kontrolér. Tyto údaje můžete nechat vygenerovat i automaticky a tento postup byl i zvolen pro tento případ, viz Obrázek 51. Druhá možnost je pak „Per AP User Name“, kde jak již název napovídá, můžete zadat unikátní uživatelské jméno a heslo per AP. Nastavení potvrďte pomocí tlačítek Submit a Continue & Reboot.
Obrázek 51: Změna ověřený RAPu z certifikátu na přednastavený klíč
Stejný přednastavený klíč je pak ještě nutné nastavit v záložce „VPN“ (viz Obrázek 52). Po této změně by se tedy ověřoval jen tento klíč a MAC adresa RAPu.
Obrázek 52: Nastavení stejného přednastaveného klíče v záložce VPN
6.5 Změna režimu konkrétního portu RAPu na split-tunel
Pro zprovoznění split-tunelu je podmínkou mít na kontroléru licenci LIC-PEF (bez této licence nelze vytvářet firewallová pravidla). Bez této licence není možné tento scénář v případě RAPu použít. Oproti konfiguraci čistého tunelu je zde konfigurace o něco složitější.
6.5.1 Vytvoření user role a potřených firewallových pravidel
Nejprve vytvořte alias pro naši VLAN 1, která reprezentuje firemní síť, kterou budeme chtít nechat v tunelu. Tento alias následně použijeme v pravidlech pro user roli, kterou vytvoříme v následujícím kroku (viz Obrázek 53).
Obrázek 53: Vytvoření aliasu pro VLAN1
Alias pojmenujete a přidejte novou položku, která bude obsahovat IP rozsah VLAN1 (viz Obrázek 54).
Obrázek 54: Vytvoření nové položky v aliasu
Zadejte IP rozsah vaší VLAN 1 a klikněte na „OK“ (viz Obrázek 55), pak ještě potvrďte tlačítkem „Submit“ a „Pending Changes“.
Obrázek 55: Zadání IP rozsahu
Dále si založte novou user roli, viz Obrázek 56 níže.
Obrázek 56: Vytvoření nové user role pro split-tunel
Vytvořenou roli označte a klikněte na „Show Advanced View“ (viz Obrázek 57).
Obrázek 57: Výběr volby „Show Advanced View“ v user roli
V záložce „Policies“, pak vytvořte novou politiku (viz Obrázek 58).
Obrázek 58: Vytvoření nové politiky
Pojmenujte ji a potvrďte tlačítkem „Submit“ (viz Obrázek 59).
Obrázek 59: Pojmenování politiky
V existující politice již vytvořte konkrétní pravidla (viz Obrázek 60).
Obrázek 60: Založení nového pravidla
Zvolte „Access control“ a potvrďte tlačítkem „OK“ (viz Obrázek 61).
Obrázek 61: Zvolení typu pravidla
Následně povolte DHCP, DNS, alias „local_lan“ v obou směrech a pro zbytek provozu nastavte jako akci „route src-nat“. Příklad vytvoření konkrétního pravidla pro DNS, viz Obrázek 62 (každou volbu potvrďte tlačítkem „Submit“). Všechna pravidla vytvořte tak, jako ukazuje Obrázek 63. Nutné je mít pravidla i správně seřazená. Pokud byste potřebovali nějaké pravidlo přesunout, klikněte na něj levým tlačítkem myši, tlačítko přidržte, najeďte na požadovanou pozici a následně tlačítko uvolněte. Nezapomeňte nakonec vše potvrdit tlačítkem „Pending Changes“.
Obrázek 62: Příklad zadaní konkrétního pravidla
Obrázek 63: Kompletní pravidla pro split-tunel
6.5.2 Vytvoření AAA profilu a přiřazení na konkrétní port
V dalším kroku se zaměříme na vytvoření profilu „AAA profile“, ve kterém bude nutno přiřadit námi vytvořenou user roli s přidruženými firewallovými pravidly, tak aby se split-tunel aplikoval na požadovaný port RAPu.
Jako první si vytvořte nový AAA profil (viz Obrázek 64).
Obrázek 64: Vytvoření nového AAA profilu pro split-tunel
Pojmenujte si ho a jako „Initial role“ zadejte vámi vytvořenou user roli (viz Obrázek 65). Potvrďte tlačítkem „Submit“ a „Pending Changes“.
Obrázek 65: Konfigurace AAA profilu pro split-tunel
Dále vytvořený AAA profil přiřaďte na port RAPu E1. Zvolte AP skupinu, ve které je váš RAP, klikněte na tlačítko „Profiles“ (úplně vpravo), zvolte volbu „AP“, rozbalte váš port E1 a vyberte nabídku AAA. V AAA profilu už jen zadejte vámi vytvořený profil a vše potvrďte tlačítkem „Submit“ a „Pending Changes“ (viz Obrázek 66).
Obrázek 66: Přiřazení AAA profilu split-tunelu na port E1
Jako poslední krok v nastavení portu E1 ještě změňte „Forward mode“ na split-tunel (viz Obrázek 67). Uložte nastavení tlačítky „Submit“ a „Pending Changes“.
Obrázek 67: Změna „Forward mode“ na split-tunel
Zkontrolujte si připojeného klienta (důležité je aby měl přidělenou správnou roli „split-tunel“), viz Obrázek 68 níže.
Obrázek 68: Kontrola klienta ve split-tunelu
Na portu E1 by tímto měla být VLAN 1 ve split-tunelu, nejprve vyzkoušejte, že funguje tunel do VLAN 1 (viz Obrázek 69). Dále otestujte, zda provoz do internetu jde opravdu skrze lokální bránu, např. pomocí online nástroje na adrese
https://www.mojeip.cz. Stránka by měla zobrazit veřejnou IP adresu lokálního poskytovatele internetu (toto se samozřejmě projeví pouze, pokud máte opravdu RAP připojen skrze internet, tak jak předpokládá topologie v úvodu).
Obrázek 69: Otestování tunelu z RAPu skrze klientský počítač
estliže chcete split-tunel použít pro SSID na AP, tak si vytvořte SSID (stačí jednoduché SSID s WPA2 ověřováním) pro „AP Group“ kde máte přiřazen RAP, jako „Forwarding mode“ na první záložce konfigurace SSID (záložka „General“) zvolte split-tunel a VLAN zvolte VLAN 1. Následně stačí jít do AAA profilu vytvořeného pro konkrétní SSID a nastavit jako „Initial mode“ (případně pro MAC či 802.1x ověření, záleží jaké zabezpečení pro SSID využíváte) vaší user roli pro split-tunel.
6.6 Změna režimu konkrétního portu RAPu na bridge
Na rozdíl od split-tunel, pro tento scénář není nutná LIC-PEF a stejně jako u tunelu si vystačíte pouze s LIC-AP.
6.6.1 Příprava AAA profilu pro kontrolér s LIC-PEF
Jako první krok si vytvořte nový AAA profil s pravidlem povolující veškerou komunikaci. Pozor, tento krok se vás týká, pouze pokud máte na kontroléru LIC-PEF. Nastavte AAA profil, viz Obrázek 70 a Obrázek 71. Pokud máte jen LIC-AP, tak tuto kapitolu přeskočte a pokračujte až od kapitoly 6.6.2.
Obrázek 70: Vytvoření nového AAA profilu pro bridge
Nový AAA profil pojmenujte a jako „Initial role“ nastavte roli „autheticated“, což je tovární pravidlo, které povoluje veškerý provoz oběma směry (viz Obrázek 71). „Submit“ a „Pending Changes“.
Obrázek 71: Nastavení nového AAA profilu
Běžte do své AP skupiny a přiřaďte portu E1 nový AAA profil, viz Obrázek 72.
Obrázek 72: Přiřazení AAA profilu na port E1
6.6.2 Příprava AAA profilu pro kontrolér bez LIC-PEF
Pozor, tento krok se vás týká, pouze pokud nemáte na kontroléru LIC-PEF a disponujete pouze LIC-AP. Pokud máte LIC-AP i LIC-PEF, tak tuto kapitolu přeskočte.
V tomto případě stačí jít pouze do vaší AP skupiny, v nastavení portu E1 zvolit nabídku AAA a nastavit „AAA Profile“ na „none“ (viz Obrázek 73). „Submit“ a „Pending Changes“.
Obrázek 73: Zrušení AAA profilu na portu E1
6.6.3 Bridge E0 access portu či nativní VLAN z trunku
Pokud chcete udělat pouze jednoduchý bridge uplinkového portu E0 (síť kterou je RAP připojen do internetu) na E1 port RAPu (samozřejmě můžete vybrat jakýkoliv jiný port, kterým RAP disponuje), pak stačí ve „Wired AP“ nabídce pro vaší AP skupinu změnit „Forward mode“ na bridge a jako „Access mode VLAN“ nastavte parametr „0“ (viz Obrázek 74). Tím zajistíte, že RAP udělá bridge access sítě přivedené na port E0 do portu E1. Pokud by byl na portu E0 trunk, tak tímto nastavením docílíte bridge konkrétní nativní VLANy z tohoto trunku na port E1.
Obrázek 74: Změna „Forward mode“ na bridge
Zkontrolujte si připojeného klienta. Důležité je, aby měl přidělenou správnou roli „authenticated“. V případě LIC-PEF, bez LIC-PEF bude mít v základu roli „logon“, ale jelikož se bez této licence neuplatňuje firewall, tak je to v pořádku. Viz Obrázek 75 níže.
Obrázek 75: Kontrola připojeného klienta v bridge režimu
Teď si vše můžete otestovat. Na portu E1 byste měli dostat IP adresu z vašeho lokálního rozsahu pro RAP a neměli byste vidět do VLAN 1 (pokud vaše zapojení odpovídá topologii v úvodu dokumentu). Pomocí online nástroje na adrese
https://www.mojeip.cz můžete vyzkoušet, že opravdu jdete do internetu skrze veřejnou IP adresu vašeho lokálního poskytovatele.
Pro stejný scénář (v bezdrátové části) na SSID změňte (běžte do nabídky Configuration->WLANs a vyberte konkrétní SSID) „Forward mode“ na bridge (v záložce „General“) a v záložce „VLANs“ nechte volbu „VLAN“ prázdnou (nevybírejte žádnou ze VLAN seznamu).
6.6.4 Bridge konkrétní VLAN ID z trunku
Tento scénář již vyžaduje změnu nastavení uplinkového E0 portu RAPu. Buďte tedy velmi opatrní, protože v případě špatného nastavení můžete RAP „odříznout“.
Tato kapitola je pouze ukázková a již přesně neodpovídá topologii v úvodu tohoto návodu.
Nejprve si vytvořte nový „AP wired“ profil ve vaší AP skupině pro uplinkový port E0 (viz Obrázek 76).
Obrázek 76: Vytvoření nového „AP wired“ profilu pro E0
Profil si pojmenujte a nastavení potvrďte tlačítkem „Submit“ (viz Obrázek 77).

Obrázek 77: Konfigurace „AP wired“ profilu pro E0
Poté na uplinkové portu E0 vytvořte „Wired AP“ profil (viz Obrázek 78).
Obrázek 78: Vytvoření nového „Wired AP“ profilu pro E0
Nastavení níže musí odpovídat konfiguraci trunkového portu routeru/switche, kam bude uplinkový port E0 připojen. V ukázkovém příkladu, viz Obrázek 79, je zvolen trunk port s nativní VLAN 1 (PVID) a tagovanými VLANami 10 až 40. Vaše konkrétní nastavení potvrďte tlačítkem „Submit“.
Obrázek 79: Konfigurace „Wired AP“ profilu pro E0
Pak již nastavte pro rozšiřující port E1 danou VLAN, která chcete, aby byla z uplinkového portu E0 v bridge (viz Obrázek 80). Vše potvrďte tlačítky „Submit“ a „Pending Changes“.
Obrázek 80: Přiřazení konkrétní VLAN v bridge režimu na E1
V tomto okamžiku byste měli mít na portu E1 vámi zvolenou VLAN. Pro stejný scénář (v bezdrátové části) na SSID změňte (běžte do nabídky Configuration->WLANs a vyberte konkrétní SSID) „Forward mode“ na bridge (v záložce „General“) a v záložce „VLANs“ zvolte vaší konkrétní VLAN z trunku.
7 Diagnostika
7.1 Troubleshooting na kontroléru
Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování nejčastějších potíží, určitě nepopisují všechny možné situace.
7.1.1 Práce se systémovým logem
V příkladech níže si zejména všimněte, že různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.
Zobrazení posledních 10 zpráv v systémovém logu kontroléru:
Zobrazení poslední 10 zpráv v systémovém logu, které se týkají bezpečnosti a podobně:
Zobrazení poslední 10 chybových zpráv v systémovém logu kontroléru:
Zobrazení posledních 10 zpráv v systémovém logu, které se týkají přihlašování uživatelů:
7.1.2 Získávání informací o aktivních uživatelích
Seznam aktivních uživatelů a informací o nich (role, zdrojová IP adresa a další):
7.1.3 Získávání informací o IPsec spojeních
Obecně jsou všechny podstatné informace o IPsec dostupné pod menu
show crypto(*1). K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI(*2) (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).
Zobrazení informací o IPsec spojeních a jejich parametrech:
__________________________________________
Zobrazení podrobných informací o konkrétní IPsec protistraně:
Zobrazení informací o ISAKMP spojeních a jejich parametrech:
Detailní informace o konkrétním ISAKMP spojení:
Seznam obrázků