05 říjen

Konfigurační návod VPN Aruba RAP (Remote Access Point)   Google+ Twitter LinkedIn Facebook

  0 Přílohy   0 Komentáře   
Počet hvězdiček je: 5/5. Hodnoceno 1x.
 
 
 

Konfigurační návod VPN Aruba RAP (Remote Access Point)

 
 
 
Jan Mašín, Jakub Konečný

masin@atlantis.cz, jakub.konecny@atlantis.cz

 
25. září 2020
 

Šíření bez souhlasu autora a společnosti atlantis telecom je zakázáno.

 
 



Obsah

1   Představení Aruba VPN RAP (Remote Access Point) ..................................................................... 3
      1.1   Licencování....................................................................................................................................................... 3
      1.2   Základní informace ........................................................................................................................................ 3
2   Topologie pro tento návod a prerekvizity ...................................................................................... 4
3   Nahrání licencí do kontroléru .......................................................................................................... 5
4   Zapnutí skrytých voleb ..................................................................................................................... 8
5   Konfigurace IP konektivity ............................................................................................................... 9
      5.1   Nastavení VLAN .............................................................................................................................................. 9
      5.2   Nastavení IP parametrů ............................................................................................................................... 11
      5.3   Otestování konektivity ................................................................................................................................... 14
6   Konfigurace RAPu .............................................................................................................................. 16
      6.1   Základní nastavení VPN ................................................................................................................................ 16
      6.2   Vytvoření a nastavení AP skupiny ............................................................................................................... 17
      6.3   Nastavení ověření RAPu ............................................................................................................................... 19
      6.4   Zkonvertování AP do RAP módu a nasazení v tunel módu ................................................................. 20
            6.4.1   Zkonvertování instantního AP do RAP módu ................................................................................ 20
            6.4.2   Zkonvertování campusového AP do RAP módu ........................................................................... 24
            6.4.3   Změna ověření RAPu na předsdílený klíč ....................................................................................... 25
      6.5   Změna režimu konkrétního portu RAPu na split-tunel ......................................................................... 26
            6.5.1   Vytvoření user role a potřených firewallových pravidel .............................................................. 26
            6.5.2   Vytvoření AAA profilu a přiřazení na konkrétní port .................................................................... 29
      6.6   Změna režimu konkrétního portu RAPu na bridge ............................................................................... 32
            6.6.1   Příprava AAA profilu pro kontrolér s LIC-PEF ................................................................................ 32
            6.6.2   Příprava AAA profilu pro kontrolér bez LIC-PEF ........................................................................... 33
            6.6.3   Bridge E0 access portu či nativní VLAN z trunku .......................................................................... 34
            6.6.4   Bridge konkrétní VLAN ID z trunku .................................................................................................. 35
7   Diagnostika ........................................................................................................................................ 37
      7.1   Troubleshooting na kontroléru .................................................................................................................. 37
            7.1.1   Práce se systémovým logem ............................................................................................................. 37
            7.1.2   Získávání informací o aktivních uživatelích .................................................................................... 39
            7.1.3   Získávání informací o IPsec spojeních ............................................................................................ 39
Seznam obrázků ..................................................................................................................................... 43
 
 
_____
2   
Zpět na obsah
 

1  Představení Aruba VPN RAP (Remote Access Point)

Aruba RAP může zajišťovat řešení pro zabezpečený přístup koncových klientů (či jiné firemní infrastruktury) do podnikové sítě. Pomocí toho řešení tedy lze snadno a rychle vytvořit novou firemní pobočku či náročnější domácí kancelář.

RAP sestavuje zabezpečené šifrované spojení (k řídícímu kontroléru) pomocí protokolu IPsec. Ověření RAPu pak probíhá pomocí MAC adresy a certifikátu nebo pomocí MAC adresy a předem nastaveného klíče (hesla). V případě potřeby je možno doplnit standardní druhy šifrování o „Suite B“ kryptografii, na což je pak ale třeba speciální licence LIC-ACR (Advanced Cryptography). Lze volit mezi různými režimy provozu a to tunelem (veškerá data jsou tunelovány do kontroléru a zpět, včetně provozu do internetu, klient pak vystupuje skrze firemní veřejnou IP), split-tunelem (pouze provoz určený pro firemní síť jde do tunelu a zbytek pak jde skrze lokální síť, tedy klient přistupuje do internetu skrze veřejnou adresu svého domácího routeru, pro tento režim je nutná LIC-PEF) a bridgem (např. pro zajištění lokální/domácí SSID, tento provoz je pouze lokální a není nikam tunelován). RAP zajistí L2 transparentní tunel (data tečou v GRE tunelu), který je zabalen do IPsecu.

V reálném provozu pak musí být kontrolér buď na veřejné IP, nebo musí být zajištěn překlad portů na jeho lokální IP adresu. Použité porty jsou 500 a 4500 oba UDP.

Více informací možno nalézt na https://www.arubanetworks.com/assets/so/SG_Remote-Access-Point.pdf.
 

1.1  Licencování

Licencování je zde velice jednoduché. Pro zprovoznění tohoto řešení nejsou třeba žádné speciální licence a stačí pouze standardní licence pro AP (LIC-AP), podle počtu provozovaných AP/RAP. Popřípadě LIC-PEF při nutnosti používání firewallu přímo na kontroléru. LIC-PEF je také nezbytná pro režim split-tunel, bez této licence jej nejde realizovat.
 

1.2   Základní informace

Čistokrevné RAPy fungují jen jako standanlone nebo v režimu s kontrolérem a nedají se připojit do Aruba Instant clusteru, aktuálně je ale jediný specializovaný RAP model RAP-203R. Dále je vhodné jako RAPy použít AP z řad H (hospitality). Aktuálně AP-203H, 303H a 505H. Výhodou RAPů a hospitality AP je, že mají větší množství rozšiřujících portů pro snadné vytvoření pobočky, či domácí kanceláře. Do RAP režimu jdou ale přepnout všechna AP (instantní i kampusová).




 
_____
3   
Zpět na obsah
 

2  Topologie pro tento návod a prerekvizity

Před samotnou konfigurací se očekává, že máte připravený kontrolér s ArubaOS 8 (zde byla použita konkrétně verze 8.6.0.2). Kontrolér by měl mít provedeno úvodní nastavení (průvodce, který probíhá typicky v CLI) a měl by být dostupný po IP. Konfigurace je demonstrována na zařízení v režimu standalone.

Schéma testovací topologie ukazuje Obrázek 1. Měla by obsahovat všechny potřebné informace o použitých síťových rozhraních, IP adresách, VLAN a roli jednotlivých zařízení.
 
 
Obrázek 1: Schéma testovací topologie




 

_____
4   
 

3  Nahrání licencí do kontroléru

Před začátkem konfigurace je nutné zalicencovat kontrolér, viz část 1 na straně 3. Pokud jste již licence do kontroléru nahráli, můžete tuto část přeskočit. V opačném případě následujte instrukce níže.

Nejprve si připravte licenční klíče. Získáte je aktivací v licenčním portálu, který používáte. V době vzniku tohoto návodu je to buď My Networking portál, nebo novější ASP (Aruba Support Portal). Nezapomeňte, že už máte pro konkrétní kontrolér aktivované nějaké licence a budete chtít aktivovat další, je třeba to provést pod stejným účtem, pod kterým jsou vedeny ostatní aktivní licence.

Nyní se přihlaste do webového rozhraní kontroléru. Má-li kontrolér IP adresu například 172.16.0.254, pak je management běžně na adrese https://172.16.0.254:4343. Viz Obrázek 2.
 

 

Obrázek 2: Přihlášení do webového rozhraní kontroléru
 

Po úspěšném přihlášení uvidíte obrazovku se základním přehledem provozních informací. Viz Obrázek 3.
 

 

Obrázek 3: Přehled provozních informací po přihlášení do kontroléru
 
_____
5   
Zpět na obsah


Dále v hlavním menu vyberte položku License v části Configuration (viz Obrázek 4).
 

 

Obrázek 4: Přístup ke správě licencí skrze hlavní menu
 

Na stránce, která se otevře, uvidíte aktuální stav nahraných licencí – protože kontrolér není ještě zalicencovaný, měly by počty být stejné, jako ukazuje Obrázek 5.
 

 

Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru
 

Na téže stránce přejděte do části Inventory a klepnutím na symbol otevřete dialog pro přidání nových licencí. V okně, které se otevře (viz Obrázek 6), zadejte licenční klíč pro LIC-AP funkcionalitu a potvrďte ho klepnutím na tlačítko OK (případně zadejte další vaše licenční klíče).
 

 

Obrázek 6: Dialog pro vložení licenčního klíče

 


_____
6   
Zpět na obsah

 

Nakonec zkontrolujte, že nově nahrané licence jsou správně nainstalovány a aktivní. Licence pro VIA VPN jsou povoleny automaticky, není tedy nutné je ještě dodatečně zapínat. Viz Obrázek 7.
 
 
Obrázek 7: Kontrola stavu licencí pro přidání nových

 

Licencování by nyní mělo být vyřešeno a můžete tedy pokračovat v samotné konfiguraci.


















 

 

_____
7   
Zpět na obsah

 

4  Zapnutí skrytých voleb

Webové rozhraní AOS 8 ve výchozím stavu skrývá některé typy konfiguračních profilů (avšak v CLI jsou normálně vidět). Abyste předešli nepříjemnostem v dalších částech konfigurace, zapněte si jejich zobrazování rovnou.

V pravém horním rohu klepněte na jméno uživatele, pod kterým jste v administraci přihlášení. V menu, které se vám otevře, klepněte na Preferences. Viz Obrázek 8.
 

 

Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní

V okně, které se vám otevře, zatrhněte volbu pro zobrazení skrytých voleb a tlačítkem Save nastavení uložte. Viz
 

 

Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní

V další části nastavíte nezbytné VLAN a IP parametry.



 

 

_____
8   
Zpět na obsah

 

5  Konfigurace IP konektivity

Zatímco práce s licencemi se nachází v konfiguračním kontextu Mobility Controller, další nastavení se provádějí již v kontextu konkrétního zařízení. Je na to potřeba pamatovat, jinak se při konfiguraci nevyhnete nejasnostem a potížím.

Konfigurační kontext změníte klepnutím na tlačítko  vlevo nahoře, viz Obrázek 10. Přehled dostupných kontextů se pak zobrazí níže, aktivní kontext je označen oranžově – viz Obrázek 11.
 
 
Obrázek 10: Menu pro změnu konfiguračního kontextu
 
 
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního

Před další konfigurací se přepněte na konkrétní fyzické zařízení. Úspěšné přepnutí poznáte v levém horním rohu, kde se aktuální konfigurační kontext zobrazuje, viz Obrázek 12.
 
 
Obrázek 12: Změna konfiguračního kontextu
 

5.1  Nastavení VLAN

VLAN se konfigurují v menu Configuration, Interfaces, VLANs. Jak již zaznělo výše: dejte si pozor, abyste pracovali ve správném kontextu, jak ukazuje Obrázek 13.
 
 
Obrázek 13: Menu pro přístup ke konfiguraci VLAN

Na stránce, která se otevře, zvolte v horním menu VLANs. Níže u přehledu nastavených VLAN (část VLANs) klepněte na . V dialogu, který se otevře, vytvořte novou VLAN, která bude použita pro přístup k WAN, k internetu. Nastavení uložte klepnutím na tlačítko Submit. Viz Obrázek 14.
 
_____
9   
Zpět na obsah
 
 
 
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu)
 
Následně změny nasaďte klepnutím na tlačítko Pending Changes vpravo nahoře. V okně, které se otevře, můžete zkontrolovat změny v konfiguraci. Klepnutím na tlačítko Deploy Changes se změny aktivují. Viz Obrázek 15.
 
 
Obrázek 15: Nasazení konfigurace nové VLAN do provozu
 
Dále přiřaďte VLAN na port, kterým je kontrolér připojený do internetu. Nejprve ze seznamu vyberte správnou VLAN (zde 190) a následně ji v části Port Members přiřaďte na konkrétní port. Viz Obrázek 16 a Obrázek 17. Nastavení nezapomeňte uložit klepnutím na tlačítko Submit vpravo dole.
 
 
Obrázek 16: Přístup k nastavení VLAN na portech
 
_____
10  
Zpět na obsah
 
 
 
Obrázek 17: Přiřazení VLAN na konkrétní port

Následně opět změny aktivujte klepnutím na tlačítko Pending Changes vpravo nahoře, respektive tlačítko Deploy Changes v okně, které se zobrazí. Před samotnou aktivací opět můžete zkontrolovat nastavení, jak ukazuje Obrázek 18.
 
 
Obrázek 18: Nasazení konfigurace nové VLAN do provozu
 

5.2  Nastavení IP parametrů

Teď nastavte WAN IP adresu a výchozí bránu. Jako dříve výše vyberte konkrétní VLAN a na záložce IPv4 nastavte IP adresu a masku, jak ukazuje Obrázek 19. Nastavení uložte klepnutím na tlačítko Submit.
 
 
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu

  _____
11  
Zpět na obsah
 

Dále pak povolte NAT odchozího provozu u VLAN, kterou přistupujete k internetu, viz Obrázek 20. V reálném nasazení tento krok nemusí být nutný, záleží na topologii. Zde ale kontrolér leží na pomyslném perimetru sítě a má přímý přístup do internetu, je tedy nutné zajistit NAT provozu z vnitřní sítě ven.

 

 

Obrázek 20: Zapnutí NAT provoz do internetu

 
 

I tentokrát nastavení uložte tlačítkem Submit a následně změny aktivujte klepnutím na tlačítko Pending Changes, viz Obrázek 21.
 

 

Obrázek 21: Kontrola a aktivace nastavení IP adresy

 

_____
12  
Zpět na obsah



Nyní se v horním menu přepněte na záložku IP Routes. Zde v části Static Default Gateway klepněte na tlačítko   a zadejte adresu brány, jak ukazuje Obrázek 22.
 

 

Obrázek 22: Přidání nové výchozí brány

 

Nastavení uložte tlačítkem Submit vpravo dole, brána se objeví v seznamu, viz Obrázek 23. Nezapomeňte také aktivovat změny jako vždy přes tlačítko Pending Changes vpravo nahoře – viz Obrázek 24.
 

 

Obrázek 23: Seznam existujících výchozích bran

 

 

Obrázek 24: Aktivace změn po nastavení nové výchozí brány

 

Nakonec ještě nastavte synchronizaci času pomocí NTP. Přejděte do menu Configuration, System. Na záložce General, v části Clock, klepněte pod tabulkou NTP Servers na tlačítko  , zadejte adresu NTP serveru, případně opravte časové pásmo (není-li nastaveno správně), viz Obrázek 25. Tlačítkem Submit nastavení uložte a nezapomeňte změny aktivovat – viz Obrázek 26.
 

_____
13  
Zpět na obsah 

 
 

 

Obrázek 25: Přidání nového NTP serveru


 

 

Obrázek 26: Aktivace nastavení nového NTP serveru


 

5.3  Otestování konektivity

Nyní zkontrolujte, zdali funguje konektivita do internetu. Přejděte tedy do menu Diagnostics, jak ukazuje Obrázek 27.
 

 

Obrázek 27: Menu pro přístup k diagnostickým nástrojům


 

Pomocí nástroje Ping pak vyzkoušejte dostupnost výchozí brány, viz Obrázek 28 a Obrázek 29.
 

_____
14  
Zpět na obsah


 

 

Obrázek 28: Použití nástroje Ping pro otestování konektivity

 

 

Obrázek 29: Výsledek testu konektivity pomocí nástroje Ping

 


Pokud je všechno v pořádku, pokračujte v konfiguraci dále. V opačném případě zkontrolujte nastavení, kabeláž a případný problém nejprve odstraňte.

 
 

_____
15  
Zpět na obsah

 

6  Konfigurace RAPu

V následující kapitole bude popsáno jak základní nastavení pro zprovoznění RAPu, tak i různé pokročilejší konfigurační možnosti (tunel, split-tunel, bridge a podobně).
 

6.1  Základní nastavení VPN

Jako první krok je třeba nastavit IKEv2, viz návod níže (Obrázek 30). EAP passthrough zvolte pouze v případě, že používáte v síti 802.1x ověření uživatelů a chcete, aby bylo terminováno na externím RADIUS serveru, pokud byste používali (např. pro SSID) interní databázi kontroléru, tak je třeba nechat políčka nezaškrtnutá a terminace 802.1x bude probíhat lokálně na kontroléru. Potvrďte tlačítkem Submit.
 
 
Obrázek 30: Základní nastavení VPN pro RAP, IKEv2

Dále nastavte IP DHCP pool, který budou jednotlivé RAPy dostávat. Je to jen vnitřní adresace pro RAPy a nebude dále nikde figurovat. Poté nastavte DNS a potvrďte tlačítkem Submit (pokud byste chtěli používat nějaké lokální DNS předklady, tak můžete nastavit váš lokální DNS server, viz Obrázek 31).



 

_____
16  
Zpět na obsah

 
 
 
Obrázek 31: Přidání IP poolu pro VPN služby a DNS



6.2  Vytvoření a nastavení AP skupiny

Stejně jako u klasického AP musí být RAP přiřazen do své AP skupiny (AP Group). Nejprve si tedy vytvořte AP Group, která bude odkazovat na veškerou konfiguraci pro daný RAP. Postupujte, viz Obrázek 32 níže. Zadejte název nové skupiny a potvrďte tlačítkem Submit.
 
 
Obrázek 32: Vytvoření nové AP skupiny

_____
17  
Zpět na obsah  
 

Dále klikněte na novou skupinu, ve skupině označte nabídku AP a port E0. Tento port by měl zůstat se základním nastavením. Slouží jako uplink a ve většině případů na něm není třeba nic nastavovat. Pouze tedy zkontrolujte, že je zde opravdu nastaven profil „default“ (viz Obrázek 33).
 
 
Obrázek 33: Kontrola nastavení uplinkového portu E0

Dalším krokem je vytvoření nového „AP wired“ profilu pro port E1, který bude propagovat VLAN 1, která reprezentuje firmení síť, postup viz návod níže. Na tomto portu RAPu tedy bude L2 tunelovaná VLAN 1 přímo z firemní infrastruktury. Vytvořte nový profil (viz Obrázek 34).
 
 
Obrázek 34: Vytvoření nového „AP wired“ profilu pro E1

Zadejte jméno profilu a jeho konfiguraci nechte beze změn (viz Obrázek 35), potvrďte tlačítkem Submit.
 
 
Obrázek 35: Nastavení „AP wired“ profilu pro E1
 

_____
18  
Zpět na obsah



Dále vytvořte nový „Wired AP profile“ a opět nastavte dle návodu níže (viz Obrázek 36). Potvrďte tlačítkem „Submit“ a „Pending Changes“.
 
 
 
Obrázek 36: Vytvoření a nastavení nového „Wired AP“ profilu pro E1

Pokud by bylo třeba na různých portech nastavit různé VLAN, tak je třeba opakovat postup výše (tzn. vytvořit znovu příslušné profily) a k daným portům přiřadit profily podle potřebného natavení VLAN. Samozřejmě můžete port na RAPu přepnout do trunk módu a tím poslat více VLAD ID např. do swicthe, který můžete za RAP také připojit a tím libovolně rozšířit svou VLAN infrastrukturu na svou pobočku. Pozor, pokud změníte nastavení pod stávajícím profilem (profil „default“), tak se změny propíší všude tam, kde je profil použit a to i napříč všemi AP skupinami.


6.3  Nastavení ověření RAPu

Pro ověření RAPu je třeba zadat MAC adresu RAPu, který budeme konvertovat na RAP mód, do white listu – viz Obrázek 37. Pak potvrďte tlačítkem Submit.
 
 
Obrázek 37: Nastavení MAC adresy rapu do white listu

Zadaná MAC RAPu ve white listu (viz Obrázek 38).
 
 
Obrázek 38: Zadaná MAC RAPu ve white listu

  _____
19  
Zpět na obsah
 

Způsob ověření RAPu výše je používán v základním nastavení. Touto metodou se ověřuje MAC adresa RAPu a dále pak ještě správnost certifikátu v TPM modulu, konkrétního RAPu. Druhá varianta je použít MAC adresu a přednastavený klíč (heslo). Postup nastavení s heslem je popsán v kapitole 6.4.3 níže v textu.
 

6.4  Zkonvertování AP do RAP módu a nasazení v tunel módu

V této podkapitole budou popsány dva způsoby převedení AP do RAP módu. První možnost je zkonvertování instantního AP. Druhá je pak převedení kampusového AP (AP které již řídí kontrolér) do RAP módu. Dále zde bude uvedena ukázka konfigurace RAPu pro full-tunel módu (tedy veškerý provoz půjde přes centrální kontrolér, včetně provozu do internetu).


6.4.1  Zkonvertování instantního AP do RAP módu

Každý RAP, od modelu RAP3, funguje jako samostatné instantní AP a je ho tedy nutné konvertovat do RAP (Remote Access Point) módu.

Uplinkový kabel zapojte do portu E0 na RAPu, kde v základním nastavení očekává uplink do internetu. RAP očekává IP adresu z DHCP z příslušného LAN rozsahu s přístupen do internetu. Pokud by nebylo možné použít DHCP, můžete samozřejmě RAPu nastavit statickou IP adresu. Přibližně do 10 minut začne vysílat SSID „SetMeUp-XX:XX:XX“ (XX:XX:XX zde představuje konec MAC adresy daného RAPu), u starších firmwarů bude svítit SSID „instant“ (viz Obrázek 39).
 
 
Obrázek 39: Tovární SSID pro základní konfiguraci instantu

Připojte se k tomuto SSID. Po připojení zadejte jakékoliv URL do prohlížeče. Instant provede sám přesměrování na konfigurační rozhraní. Základní přihlašovací údaje jsou admin/admin nebo na nejnovějších firmwarech admin/„sérové číslo AP“ (viz Obrázek 40). Příklady níže jsou uvedeny ze staršího webového rozhraní Instantu (firmware do Aruba InstantOS 8.3.x.x). Firmware od Aruba InstantOS 8.4.x.x již má jiný, modernější vzhled, nicméně konverze se nastavuje ve stejných nabídkách a dá se tak s příkladu níže pohodlně vycházet i pro nové webové rozhraní.
 
 
Obrázek 40: Přihlašovací stránka Aruba Instant

  _____
20  
Zpět na obsah
 

Country code zvolte Czech Republic. A dále běžte do menu Maintenance -> Convert. Zvolte „Remote APs managed by a Mobility Controller“ a zadejte adresu vašeho kontroléru, v našem testovací scénáři nám simuluje internet síť 192.168.190.0/24, kde 192.168.190.254 je brána a 192.168.190.1 je kontrolér. V našem případě tedy zadejte 192.168.190.1 (v reálné instalaci toto bude veřejné adresa kontroléru, nebo případně překlad z veřejné adresy na lokální IP kontroléru). Dále vše potvrďte tlačítkem „Convert Now“ (viz Obrázek 41).
 
 
Obrázek 41: Konverze instantního AP na RAP

Příklad průběhu konverze můžete vidět níže (viz Obrázek 42, Obrázek 43 a Obrázek 44).
 
 
Obrázek 42: Průběh konverze RAPu – stahování informací
 
_____
21  
Zpět na obsah
 
 
 
Obrázek 43: Průběh konverze RAPu – příprava konverze
 
 
Obrázek 44: Průběh konverze RAPu – dokončení konverze

RAP si stáhne nový firmware z kontroléru a restartuje se. Následně by již měl naběhnout v remote módu a měl by být viditelný v záložce zobrazené níže (viz Obrázek 45).
 
 
Obrázek 45: Správně zkonvertované instantní AP na RAP

_____
22  
Zpět na obsah  


Na portu E1 by tímto měla být tunelovaná VLAN 1 a měla by se tvářit jako transparentní L2 firemní síť. Pokud máte AP pouze s jedním ethernetovým portem, tak si vytvořte SSID (stačí jednoduché SSID s WPA2 ověřováním) pro „AP Group“ kde máte přiřazen RAP a jako tunelovanou VLAN dejte právě VLAN 1. Nakonec můžete zkontrolovat, že máte přístup skutečně přístup do VLAN 1, která je v tomto příkladu simulována sítí 172.16.0.0/24. Například „opingejte“ LAN adresu kontroléru, viz Obrázek 46.
 
 
Obrázek 46: Otestování tunelu z RAPu skrze klientský počítač

Dále můžete ověřit, zda je provoz opravdu ve full-tunelu (tzn. i komunikace do internetu by měla jít skrze centrální kontrolér a jeho veřejnou IP adresu). Toto můžete otestovat, např. pomocí online nástroje na adrese https://www.mojeip.cz. Stránka by měla zobrazit veřejnou IP adresu kontroléru (toto se samozřejmě projeví pouze, pokud máte opravdu RAP připojen skrze internet, tak jak předpokládá topologie v úvodu).

Teď se podívejte, zda je klient viditelný na kontroléru (viz Obrázek 47).
 
 
Obrázek 47: Kontrola připojeného klienta

Neměli byste ho být schopni najít, protože jste dříve v návodu nastavili E1 jako „trusted“ (viz Obrázek 36). Pokud je port takto nastaven, tak kontrolér na něj neuplatňuje žádná firewallová pravidla a ani klienty na něm nijak nemonitoruje. Jestliže chcete tento stav změnit, tak je třeba port udělat „untrusted“ (viz Obrázek 48). A dále pak nastavit příslušný AAA profil (viz Obrázek 70, Obrázek 71 a Obrázek 72). Kontrolu klienta pak můžete provést, viz Obrázek 75.
 

_____
23  
Zpět na obsah
 

 
 
Obrázek 48: Změna portu E1 na „untrusted“
 

Pokud byste chtěli udělat konverzi přes SSH či sériovou konzoli, tak můžete jít přímo do CLI Instantu. SSH je standardně povoleno a lokální konzole používá rychlost 9600 bit/s. Pak se stačí přihlásit pomocí stejných přihlašovacích údajů jako do webového rozhraní a zadat příkaz níže.
 
 


6.4.2  Zkonvertování campusového AP do RAP módu

Pokud budete do RAP módu převádět již existující AP v campus módu, je postup velmi jednoduchý. Označte konkrétní AP, změňte AP skupinu, zvolte IP adresu, kam se bude RAP připojovat (192.168.190.1). Tzn. lokální IP pro campus AP nahraďte za remote IP (většinou veřejná IP adresa), za kterou je dostupný kontrolér pro IPsec. Submit a Continue & Reboot (viz Obrázek 49).
 
 
Obrázek 49: Konverze AP z campus módu na RAP

_____
24  
Zpět na obsah


Pokud vše proběhne hladce, tak se RAP zobrazí, viz Obrázek 50 níže.
 

Obrázek 50: Správně zkonvertované campusové AP na RAP

Pokud jste použili tuto variantu, tak následně ověřte funkčnost konfigurace, viz strana 23.
 

6.4.3  Změna ověření RAPu na předsdílený klíč

Pokud byste chtěli použít k ověření RAPu místo certifikátu přednastavený klíč, tak je toto třeba změnit v provisioningu AP. Může se hodit např. v případě, že používáte virtualizovaný kontrolér, kde není TMP modul a toto může být nejrychlejší způsob jak RAP dostat na kontrolér bez ověřování certifikátu. K přednastavenému klíči vždy ještě musíte zvolit ověření konkrétního AP uživatelským jménem a heslem. První možnost je „Global User Name“, což je jednotné uživatelské jméno a heslo pro všechna AP per kontrolér. Tyto údaje můžete nechat vygenerovat i automaticky a tento postup byl i zvolen pro tento případ, viz Obrázek 51. Druhá možnost je pak „Per AP User Name“, kde jak již název napovídá, můžete zadat unikátní uživatelské jméno a heslo per AP. Nastavení potvrďte pomocí tlačítek Submit a Continue & Reboot.

Obrázek 51: Změna ověřený RAPu z certifikátu na přednastavený klíč

_____
25  
Zpět na obsah
 

Stejný přednastavený klíč je pak ještě nutné nastavit v záložce „VPN“ (viz Obrázek 52). Po této změně by se tedy ověřoval jen tento klíč a MAC adresa RAPu.
 

Obrázek 52: Nastavení stejného přednastaveného klíče v záložce VPN
 


6.5  Změna režimu konkrétního portu RAPu na split-tunel

Pro zprovoznění split-tunelu je podmínkou mít na kontroléru licenci LIC-PEF (bez této licence nelze vytvářet firewallová pravidla). Bez této licence není možné tento scénář v případě RAPu použít. Oproti konfiguraci čistého tunelu je zde konfigurace o něco složitější.
 

6.5.1  Vytvoření user role a potřených firewallových pravidel

Nejprve vytvořte alias pro naši VLAN 1, která reprezentuje firemní síť, kterou budeme chtít nechat v tunelu. Tento alias následně použijeme v pravidlech pro user roli, kterou vytvoříme v následujícím kroku (viz Obrázek 53).
 

Obrázek 53: Vytvoření aliasu pro VLAN1
 
_____
26  
Zpět na obsah


Alias pojmenujete a přidejte novou položku, která bude obsahovat IP rozsah VLAN1 (viz Obrázek 54).
 
Obrázek 54: Vytvoření nové položky v aliasu

Zadejte IP rozsah vaší VLAN 1 a klikněte na „OK“ (viz Obrázek 55), pak ještě potvrďte tlačítkem „Submit“ a „Pending Changes“.
 

Obrázek 55: Zadání IP rozsahu

Dále si založte novou user roli, viz Obrázek 56 níže.
 

Obrázek 56: Vytvoření nové user role pro split-tunel
 
_____
27  
Zpět na obsah


Vytvořenou roli označte a klikněte na „Show Advanced View“ (viz Obrázek 57).

 
Obrázek 57: Výběr volby „Show Advanced View“ v user roli

V záložce „Policies“, pak vytvořte novou politiku (viz Obrázek 58).
 

Obrázek 58: Vytvoření nové politiky

Pojmenujte ji a potvrďte tlačítkem „Submit“ (viz Obrázek 59).


Obrázek 59: Pojmenování politiky

V existující politice již vytvořte konkrétní pravidla (viz Obrázek 60).
 

Obrázek 60: Založení nového pravidla

_____
28  
Zpět na obsah


Zvolte „Access control“ a potvrďte tlačítkem „OK“ (viz Obrázek 61).


Obrázek 61: Zvolení typu pravidla

Následně povolte DHCP, DNS, alias „local_lan“ v obou směrech a pro zbytek provozu nastavte jako akci „route src-nat“. Příklad vytvoření konkrétního pravidla pro DNS, viz Obrázek 62 (každou volbu potvrďte tlačítkem „Submit“). Všechna pravidla vytvořte tak, jako ukazuje Obrázek 63. Nutné je mít pravidla i správně seřazená. Pokud byste potřebovali nějaké pravidlo přesunout, klikněte na něj levým tlačítkem myši, tlačítko přidržte, najeďte na požadovanou pozici a následně tlačítko uvolněte. Nezapomeňte nakonec vše potvrdit tlačítkem „Pending Changes“.


Obrázek 62: Příklad zadaní konkrétního pravidla


Obrázek 63: Kompletní pravidla pro split-tunel



6.5.2  Vytvoření AAA profilu a přiřazení na konkrétní port

V dalším kroku se zaměříme na vytvoření profilu „AAA profile“, ve kterém bude nutno přiřadit námi vytvořenou user roli s přidruženými firewallovými pravidly, tak aby se split-tunel aplikoval na požadovaný port RAPu.

Jako první si vytvořte nový AAA profil (viz Obrázek 64).
 
_____
29  
Zpět na obsah



Obrázek 64: Vytvoření nového AAA profilu pro split-tunel

Pojmenujte si ho a jako „Initial role“ zadejte vámi vytvořenou user roli (viz Obrázek 65). Potvrďte tlačítkem „Submit“ a „Pending Changes“.
 


Obrázek 65: Konfigurace AAA profilu pro split-tunel

Dále vytvořený AAA profil přiřaďte na port RAPu E1. Zvolte AP skupinu, ve které je váš RAP, klikněte na tlačítko „Profiles“ (úplně vpravo), zvolte volbu „AP“, rozbalte váš port E1 a vyberte nabídku AAA. V AAA profilu už jen zadejte vámi vytvořený profil a vše potvrďte tlačítkem „Submit“ a „Pending Changes“ (viz Obrázek 66).

_____
30  
Zpět na obsah


 
Obrázek 66: Přiřazení AAA profilu split-tunelu na port E1

Jako poslední krok v nastavení portu E1 ještě změňte „Forward mode“ na split-tunel (viz Obrázek 67). Uložte nastavení tlačítky „Submit“ a „Pending Changes“.

Obrázek 67: Změna „Forward mode“ na split-tunel

Zkontrolujte si připojeného klienta (důležité je aby měl přidělenou správnou roli „split-tunel“), viz Obrázek 68 níže.


 
Obrázek 68: Kontrola klienta ve split-tunelu
 
Na portu E1 by tímto měla být VLAN 1 ve split-tunelu, nejprve vyzkoušejte, že funguje tunel do VLAN 1 (viz Obrázek 69). Dále otestujte, zda provoz do internetu jde opravdu skrze lokální bránu, např. pomocí online nástroje na adrese https://www.mojeip.cz. Stránka by měla zobrazit veřejnou IP adresu lokálního poskytovatele internetu (toto se samozřejmě projeví pouze, pokud máte opravdu RAP připojen skrze internet, tak jak předpokládá topologie v úvodu).

_____
31  
Zpět na obsah

 


Obrázek 69: Otestování tunelu z RAPu skrze klientský počítač

estliže chcete split-tunel použít pro SSID na AP, tak si vytvořte SSID (stačí jednoduché SSID s WPA2 ověřováním) pro „AP Group“ kde máte přiřazen RAP, jako „Forwarding mode“ na první záložce konfigurace SSID (záložka „General“) zvolte split-tunel a VLAN zvolte VLAN 1. Následně stačí jít do AAA profilu vytvořeného pro konkrétní SSID a nastavit jako „Initial mode“ (případně pro MAC či 802.1x ověření, záleží jaké zabezpečení pro SSID využíváte) vaší user roli pro split-tunel.
 

6.6  Změna režimu konkrétního portu RAPu na bridge

Na rozdíl od split-tunel, pro tento scénář není nutná LIC-PEF a stejně jako u tunelu si vystačíte pouze s LIC-AP.


6.6.1  Příprava AAA profilu pro kontrolér s LIC-PEF

Jako první krok si vytvořte nový AAA profil s pravidlem povolující veškerou komunikaci. Pozor, tento krok se vás týká, pouze pokud máte na kontroléru LIC-PEF. Nastavte AAA profil, viz Obrázek 70 a Obrázek 71. Pokud máte jen LIC-AP, tak tuto kapitolu přeskočte a pokračujte až od kapitoly 6.6.2.



Obrázek 70: Vytvoření nového AAA profilu pro bridge
 
_____
32  
Zpět na obsah


Nový AAA profil pojmenujte a jako „Initial role“ nastavte roli „autheticated“, což je tovární pravidlo, které povoluje veškerý provoz oběma směry (viz Obrázek 71). „Submit“ a „Pending Changes“.

 

Obrázek 71: Nastavení nového AAA profilu

Běžte do své AP skupiny a přiřaďte portu E1 nový AAA profil, viz Obrázek 72.

 

Obrázek 72: Přiřazení AAA profilu na port E1
 



6.6.2 Příprava AAA profilu pro kontrolér bez LIC-PEF

Pozor, tento krok se vás týká, pouze pokud nemáte na kontroléru LIC-PEF a disponujete pouze LIC-AP. Pokud máte LIC-AP i LIC-PEF, tak tuto kapitolu přeskočte.

V tomto případě stačí jít pouze do vaší AP skupiny, v nastavení portu E1 zvolit nabídku AAA a nastavit „AAA Profile“ na „none“ (viz Obrázek 73). „Submit“ a „Pending Changes“.

_____
33  
Zpět na obsah
 


 
Obrázek 73: Zrušení AAA profilu na portu E1

 

6.6.3  Bridge E0 access portu či nativní VLAN z trunku

Pokud chcete udělat pouze jednoduchý bridge uplinkového portu E0 (síť kterou je RAP připojen do internetu) na E1 port RAPu (samozřejmě můžete vybrat jakýkoliv jiný port, kterým RAP disponuje), pak stačí ve „Wired AP“ nabídce pro vaší AP skupinu změnit „Forward mode“ na bridge a jako „Access mode VLAN“ nastavte parametr „0“ (viz Obrázek 74). Tím zajistíte, že RAP udělá bridge access sítě přivedené na port E0 do portu E1. Pokud by byl na portu E0 trunk, tak tímto nastavením docílíte bridge konkrétní nativní VLANy z tohoto trunku na port E1.

 

Obrázek 74: Změna „Forward mode“ na bridge

Zkontrolujte si připojeného klienta. Důležité je, aby měl přidělenou správnou roli „authenticated“. V případě LIC-PEF, bez LIC-PEF bude mít v základu roli „logon“, ale jelikož se bez této licence neuplatňuje firewall, tak je to v pořádku. Viz Obrázek 75 níže.
 
_____
34  
Zpět na obsah

 

Obrázek 75: Kontrola připojeného klienta v bridge režimu

Teď si vše můžete otestovat. Na portu E1 byste měli dostat IP adresu z vašeho lokálního rozsahu pro RAP a neměli byste vidět do VLAN 1 (pokud vaše zapojení odpovídá topologii v úvodu dokumentu). Pomocí online nástroje na adrese https://www.mojeip.cz můžete vyzkoušet, že opravdu jdete do internetu skrze veřejnou IP adresu vašeho lokálního poskytovatele.

Pro stejný scénář (v bezdrátové části) na SSID změňte (běžte do nabídky Configuration->WLANs a vyberte konkrétní SSID) „Forward mode“ na bridge (v záložce „General“) a v záložce „VLANs“ nechte volbu „VLAN“ prázdnou (nevybírejte žádnou ze VLAN seznamu).

 

6.6.4  Bridge konkrétní VLAN ID z trunku

Tento scénář již vyžaduje změnu nastavení uplinkového E0 portu RAPu. Buďte tedy velmi opatrní, protože v případě špatného nastavení můžete RAP „odříznout“. Tato kapitola je pouze ukázková a již přesně neodpovídá topologii v úvodu tohoto návodu.

Nejprve si vytvořte nový „AP wired“ profil ve vaší AP skupině pro uplinkový port E0 (viz Obrázek 76).

 
Obrázek 76: Vytvoření nového „AP wired“ profilu pro E0

Profil si pojmenujte a nastavení potvrďte tlačítkem „Submit“ (viz Obrázek 77).


Obrázek 77: Konfigurace „AP wired“ profilu pro E0
 
_____
35  
Zpět na obsah

 
Poté na uplinkové portu E0 vytvořte „Wired AP“ profil (viz Obrázek 78).

 
Obrázek 78: Vytvoření nového „Wired AP“ profilu pro E0

Nastavení níže musí odpovídat konfiguraci trunkového portu routeru/switche, kam bude uplinkový port E0 připojen. V ukázkovém příkladu, viz Obrázek 79, je zvolen trunk port s nativní VLAN 1 (PVID) a tagovanými VLANami 10 až 40. Vaše konkrétní nastavení potvrďte tlačítkem „Submit“.

 

Obrázek 79: Konfigurace „Wired AP“ profilu pro E0

Pak již nastavte pro rozšiřující port E1 danou VLAN, která chcete, aby byla z uplinkového portu E0 v bridge (viz Obrázek 80). Vše potvrďte tlačítky „Submit“ a „Pending Changes“.

 
Obrázek 80: Přiřazení konkrétní VLAN v bridge režimu na E1

V tomto okamžiku byste měli mít na portu E1 vámi zvolenou VLAN. Pro stejný scénář (v bezdrátové části) na SSID změňte (běžte do nabídky Configuration->WLANs a vyberte konkrétní SSID) „Forward mode“ na bridge (v záložce „General“) a v záložce „VLANs“ zvolte vaší konkrétní VLAN z trunku.
 
_____
36  
Zpět na obsah

7  Diagnostika


7.1  Troubleshooting na kontroléru

Většina diagnostiky se na kontroléru provádí v prostředí CLI (tedy je nutné se připojit buď lokální sériovou konzolí, nebo přes SSH). Ukázky níže slouží jako pomoc při odhalování nejčastějších potíží, určitě nepopisují všechny možné situace.
 

7.1.1  Práce se systémovým logem

V příkladech níže si zejména všimněte, že různé zprávy (resp. události) mohou v systémovém logu spadat do více kategorií.

Zobrazení posledních 10 zpráv v systémovém logu kontroléru:


Zobrazení poslední 10 zpráv v systémovém logu, které se týkají bezpečnosti a podobně:



 
_____
37  
Zpět na obsah


Zobrazení poslední 10 chybových zpráv v systémovém logu kontroléru:


Zobrazení posledních 10 zpráv v systémovém logu, které se týkají přihlašování uživatelů:



 
_____
38  
Zpět na obsah




7.1.2  Získávání informací o aktivních uživatelích

Seznam aktivních uživatelů a informací o nich (role, zdrojová IP adresa a další):

 

7.1.3  Získávání informací o IPsec spojeních

Obecně jsou všechny podstatné informace o IPsec dostupné pod menu show crypto(*1). K dalším příkladům mimo zde uvedené se dostanete snadno pomocí nápovědy v CLI(*2) (na konci příkazu stačí napsat otazník, jistě to znáte z jiných CLI prostředí).

Zobrazení informací o IPsec spojeních a jejich parametrech:



__________________________________________
(*1)  Více informací viz: https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/1cli-commands/aaa-als-grp.htm.
(*2)  Více informací viz: https://www.arubanetworks.com/techdocs/ArubaOS_86_Web_Help/Content/arubaos-solutions/1cli-commands/Chapters/cli-access.htm.
 
_____
39  
Zpět na obsah


Zobrazení podrobných informací o konkrétní IPsec protistraně:


Zobrazení informací o ISAKMP spojeních a jejich parametrech:


Detailní informace o konkrétním ISAKMP spojení:



_____
40  
Zpět na obsah














 

_____
41  
Zpět na obsah












 

Seznamy












 

 


_____
42  
Zpět na obsah


Seznam obrázků

Obrázek 1: Schéma testovací topologie ................................................................................................................... 4
Obrázek 2: Přihlášení do webového rozhraní kontroléru .................................................................................... 5
Obrázek 3: Přehled provozních informací po přihlášení do kontroléru ........................................................... 5
Obrázek 4: Přístup ke správě licencí skrze hlavní menu ...................................................................................... 6
Obrázek 5: Přehled licencí aktuálně nahraných do kontroléru .......................................................................... 6
Obrázek 6: Dialog pro vložení licenčního klíče ....................................................................................................... 6
Obrázek 7: Kontrola stavu licencí pro přidání nových .......................................................................................... 7
Obrázek 8: Menu pro zapnutí skrytých voleb ve webovém rozhraní ............................................................... 8
Obrázek 9: Nastavení zobrazování skrytých voleb ve webovém rozhraní ...................................................... 8
Obrázek 10: Menu pro změnu konfiguračního kontextu .................................................................................... 9
Obrázek 11: Přehled konfiguračních kontextů s označením aktivního ............................................................ 9
Obrázek 12: Změna konfiguračního kontextu ....................................................................................................... 9
Obrázek 13: Menu pro přístup ke konfiguraci VLAN ............................................................................................ 9
Obrázek 14: Vytvoření nové VLAN (pro přístup k internetu) .............................................................................. 10
Obrázek 15: Nasazení konfigurace nové VLAN do provozu ............................................................................... 10
Obrázek 16: Přístup k nastavení VLAN na portech ............................................................................................... 10
Obrázek 17: Přiřazení VLAN na konkrétní port ...................................................................................................... 11
Obrázek 18: Nasazení konfigurace nové VLAN do provozu ............................................................................... 11
Obrázek 19: Nastavení IP adresy pro VLAN s přístupem k internetu ............................................................... 11
Obrázek 20: Zapnutí NAT provoz do internetu ...................................................................................................... 12
Obrázek 21: Kontrola a aktivace nastavení IP adresy ........................................................................................... 12
Obrázek 22: Přidání nové výchozí brány .................................................................................................................. 13
Obrázek 23: Seznam existujících výchozích bran .................................................................................................. 13
Obrázek 24: Aktivace změn po nastavení nové výchozí brány ........................................................................... 13
Obrázek 25: Přidání nového NTP serveru ............................................................................................................... 14
Obrázek 26: Aktivace nastavení nového NTP serveru .......................................................................................... 14
Obrázek 27: Menu pro přístup k diagnostickým nástrojům ............................................................................... 14
Obrázek 28: Použití nástroje Ping pro otestování konektivity ............................................................................ 15
Obrázek 29: Výsledek testu konektivity pomocí nástroje Ping ........................................................................... 15
Obrázek 30: Základní nastavení VPN pro RAP, IKEv2 ............................................................................................ 16
Obrázek 31: Přidání IP poolu pro VPN služby a DNS ............................................................................................ 17
Obrázek 32: Vytvoření nové AP skupiny ................................................................................................................... 17
Obrázek 33: Kontrola nastavení uplinkového portu E0 ....................................................................................... 18
Obrázek 34: Vytvoření nového „AP wired“ profilu pro E1 .................................................................................... 18
Obrázek 35: Nastavení „AP wired“ profilu pro E1 .................................................................................................. 18
Obrázek 36: Vytvoření a nastavení nového „Wired AP“ profilu pro E1 ............................................................. 19
Obrázek 37: Nastavení MAC adresy rapu do white listu ...................................................................................... 19
Obrázek 38: Zadaná MAC RAPu ve white listu ........................................................................................................ 19
Obrázek 39: Tovární SSID pro základní konfiguraci instantu .............................................................................. 20
Obrázek 40: Přihlašovací stránka Aruba Instant .................................................................................................... 20
Obrázek 41: Konverze instantního AP na RAP ........................................................................................................ 21
Obrázek 42: Průběh konverze RAPu – stahování informací ................................................................................ 21
Obrázek 43: Průběh konverze RAPu – příprava konverze ................................................................................... 22
Obrázek 44: Průběh konverze RAPu – dokončení konverze ............................................................................... 22
Obrázek 45: Správně zkonvertované instantní AP na RAP .................................................................................. 22
Obrázek 46: Otestování tunelu z RAPu skrze klientský počítač ......................................................................... 23
 

_____
43  
Zpět na obsah


 

Obrázek 47: Kontrola připojeného klienta .............................................................................................................. 23
Obrázek 48: Změna portu E1 na „untrusted“ ......................................................................................................... 24
Obrázek 49: Konverze AP z campus módu na RAP ............................................................................................... 24
Obrázek 50: Správně zkonvertované campusové AP na RAP ............................................................................. 25
Obrázek 51: Změna ověřený RAPu z certifikátu na přednastavený klíč ........................................................... 25
Obrázek 52: Nastavení stejného přednastaveného klíče v záložce VPN ......................................................... 26
Obrázek 53: Vytvoření aliasu pro VLAN1 ................................................................................................................. 26
Obrázek 54: Vytvoření nové položky v aliasu .......................................................................................................... 27
Obrázek 55: Zadání IP rozsahu .................................................................................................................................. 27
Obrázek 56: Vytvoření nové user role pro split-tunel .......................................................................................... 27
Obrázek 57: Výběr volby „Show Advanced View“ v user roli ............................................................................... 28
Obrázek 58: Vytvoření nové politiky .......................................................................................................................... 28
Obrázek 59: Pojmenování politiky ............................................................................................................................. 28
Obrázek 60: Založení nového pravidla ..................................................................................................................... 28
Obrázek 61: Zvolení typu pravidla ............................................................................................................................. 29
Obrázek 62: Příklad zadaní konkrétního pravidla .................................................................................................. 29
Obrázek 63: Kompletní pravidla pro split-tunel ..................................................................................................... 29
Obrázek 64: Vytvoření nového AAA profilu pro split-tunel .................................................................................. 30
Obrázek 65: Konfigurace AAA profilu pro split-tunel ............................................................................................ 30
Obrázek 66: Přiřazení AAA profilu split-tunelu na port E1 .................................................................................. 31
Obrázek 67: Změna „Forward mode“ na split-tunel ............................................................................................. 31
Obrázek 68: Kontrola klienta ve split-tunelu ........................................................................................................... 31
Obrázek 69: Otestování tunelu z RAPu skrze klientský počítač ......................................................................... 32
Obrázek 70: Vytvoření nového AAA profilu pro bridge ........................................................................................ 32
Obrázek 71: Nastavení nového AAA profilu ............................................................................................................ 33
Obrázek 72: Přiřazení AAA profilu na port E1 ......................................................................................................... 33
Obrázek 73: Zrušení AAA profilu na portu E1 ......................................................................................................... 34
Obrázek 74: Změna „Forward mode“ na bridge .................................................................................................... 34
Obrázek 75: Kontrola připojeného klienta v bridge režimu ................................................................................ 35
Obrázek 76: Vytvoření nového „AP wired“ profilu pro E0 .................................................................................... 35
Obrázek 77: Konfigurace „AP wired“ profilu pro E0 .............................................................................................. 35
Obrázek 78: Vytvoření nového „Wired AP“ profilu pro E0 ................................................................................... 36
Obrázek 79: Konfigurace „Wired AP“ profilu pro E0 ............................................................................................. 36
Obrázek 80: Přiřazení konkrétní VLAN v bridge režimu na E1 ........................................................................... 36


 





_____
44  
Zpět na obsah
Konfigurační návod VPN Aruba RAP (Remote Access Point)

Komentáře (0)



Leave message
Your rating:

Štítky

Přihlášení

Registrace