Infinigate (Schweiz) AG Aruba Controller Setup - Handout - by Christoph Barreith, Senior Security Engineer 29.05.2012
1 Inhaltsverzeichnis 1 Inhaltsverzeichnis... 1 2 Controller Basic Setup... 2 2.1 Mobility Controller Setup... 2 2.2 System Configuration...11 2.2.1 DHCP Server einrichten:...11 2.2.2 VLAN einrichten...13 2.3 WLAN anlegen...14 by Infinigate Schweiz Seite 1 von 22
2 Controller Basic Setup Auf den Controller verbinden (IE oder Firefox): a. IP der Netzwerkkarte auf DHCP b. Default IP: 172.16.0.254 2.1 Mobility Controller Setup Auswählen der Option: Campus Wireless Die anderen zwei Punkte beschreiben das Verhalten, ähnlich einem RAP. Begin by Infinigate Schweiz Seite 2 von 22
Hier werden die Grund Settings des Controllers gemacht. WICHTIG ist hier die Option Country Code: CH, da an dieser Länderkennung auch die minimalen Abweichungen in den Frequenzbändern festgesetzt sind. Das Admin Passwort wird für den WebGUI benötigt, das enable Passwort für den root Zugriff via SSH auf die Console. by Infinigate Schweiz Seite 3 von 22
Auswählen der Option: Standalone Die meisten Deployments werden mit der Standalone Option gemacht. Master und Local werden benützt, wenn die SSID Konfiguration zentral, über mehrere Standorte hinweg gemacht werden soll, oder bei einer Cluster Lösung. by Infinigate Schweiz Seite 4 von 22
Für unser Labor können wir das ganz so lassen. Im real live ist dies das native VLAN und sollte für die Kommunikation zwischen Controller und APs genutzt werden. Wenn mehrere VLANs benützt werden sollen, können diese auch später noch eingefügt werden. Meine Empfehlung: VLAN nachträglich einrichten! by Infinigate Schweiz Seite 5 von 22
Hier wird das Mangement VLAN angegeben, meist gleich das VLAN 1. Steht das Default Gateway auf Dynamic, macht der Aruba Controller einfache einen DHCP Request und nimmt das default GW von dort. by Infinigate Schweiz Seite 6 von 22
Hier kann gleich die Zuweisung von physischen Ports auf VLANs gelegt werden. Dies macht nur Sinn wenn zuvor verschiedene VLANs definiert wurden. by Infinigate Schweiz Seite 7 von 22
Nun ist die Grundkonfiguration des Controllers abgeschlossen. Continue Durch den Link finish now kann der Assistent nun auch beendet werden. Ich empfehle die Lizenzen noch einzufügen, da sich dadurch ein reboot des Controller eingespart werden kann. by Infinigate Schweiz Seite 8 von 22
Nun müssen die AP Lizenzen, evtl. auch die erworbenen Firewall, RF Protect oder weitere Lizenzen mit Add eingespielt werden: Zuvor müssen die Certificate IDs der Lizenz Zertifikate unter https://licensing.arubanetworks.com auf eine Controller Seriennummer registriert werden. by Infinigate Schweiz Seite 9 von 22
Wir beenden den Assistenten nun mit einem Finish now Da es in der Vergangenheit ab und zu vorgekommen ist, das die Assistenten Browser abhängig sind, empfehle ich nicht jetzt das komplette Setup laufen zu lassen. Alle Assistenten sind später separat aufrufbar. Die Summary Ansicht einfach beenden, was zu einem Reboot des Controllers führt. Finish by Infinigate Schweiz Seite 10 von 22
2.2 System Configuration Die Rechner benötigen nun eine fixe IP Adresse da der DHCP Server nur nach einem factory reset wieder zu Verfügung steht. Damit im Labor die APs auch eine IP Adresse bekommen richten wir fürs VLAN 1 einen DHCP Server ein: 2.2.1 DHCP Server einrichten: Configuration -> Network -> IP -> DHCP Server by Infinigate Schweiz Seite 11 von 22
Nun müssen noch die Excluse Ranges definiert werden, für z.b. Firewall oder Controller selbst: Mit Done und Apply wird die gesamte Konfiguration gespeichert. Bitte noch den Haken bei Enable DHCP Server aktivieren und wieder mit Apply bestätigen: Mit einem Save Configuration sollte die Konfiguration ab und zu fest in den Speicher geschrieben werden: by Infinigate Schweiz Seite 12 von 22
2.2.2 VLAN einrichten Um nun später eine SSID in einem anderen VLAN enden zu lassen, wie das Management VLAN, erstellen wir nun ein neues VLAN für unsere SSID: Configuration -> Network -> VALN -> Add Add a VLAN VLAN ID kann frei gewählt werden, wenn noch keine anderen VLANs im Netzwerk vorhanden sind. Mit dem Port wird der physische Port ausgewählt, auf dem das VLAN ein Access hat. by Infinigate Schweiz Seite 13 von 22
Benötigt der Controller in diesem VLAN auch eine IP Adresse kann diese hier eingestellt werden: Configuration -> Network -> IP -> IP Interfaces Wird aber bei uns im Labor nicht benötigt! Wir verkabeln das eth4 mit unserem Schulungsraum Netzwerk. 2.3 WLAN anlegen Um eine neue SSID zu erzeugen, führen wir den WLAN Wizard aus, dieser legt automatisch alle richtigen Verknüpfungen innerhalb des Controllers an. Alle Einstellungen die innerhalb des Wizards gemacht werden, können natürlich später wieder geändert oder angepasst werden. Per Default heissen alle Profile die generiert werden so wie der Namen der SSID die erzeigt wird. Soll dies jedoch unterschiedlich sein, so sollte besser später nur der Anzeigename der SSID geändert werden. Ist einfacher Configuration -> Wizards -> WLAN/LAN Wizard by Infinigate Schweiz Seite 14 von 22
Die Einstellung Campus Only erstellt eine SSID für den internen Gebrauch. Dur Remote Networking werden evtl. spätere Remote APs angesprochen. Begin Mit New kann eine neue AP Gruppe (logische Zusammenfassung von APs welche die gleichen SSIDs aussenden soll) erzeugt werden: by Infinigate Schweiz Seite 15 von 22
Dann schliesst sich der Group Teil des WLAN Wizards und weiter geht es dann mit den SSID Settings. Continue by Infinigate Schweiz Seite 16 von 22
Hier wird nun mit New eine neue SSID in der Gruppe APG-intern angelegt: by Infinigate Schweiz Seite 17 von 22
Nun gilt es die Art auszuwählen, in welcher der Traffik zwischen AP und Controller weitergeleitet wird. Wir nutzen die sicherste Variante mit Tunnel. Bei Radio Type wird ausgewählt auf welchen Frequenzbändern und mit welchen Übertragungsraten die SSID verfügbar sein soll. by Infinigate Schweiz Seite 18 von 22
Nun wird noch das entsprechende VLAN für diese SSID zugewiesen, bei uns, VLAN 10. Mit Internal wählen wir aus, für welche Art von Usern wir die SSID erstellen. by Infinigate Schweiz Seite 19 von 22
Nun muss die Verschlüsselung für diese SSID aktiviert werden. In unserem Beispiel genügt eine WPA2-PSK Verschlüsselung mit Passwort. Da für die interne Authentifizierung kein Captive Portal benötigt wird, könne wir dieses überspringen. by Infinigate Schweiz Seite 20 von 22
Wenn die PEF-NG Lizenzen (Policy Enforcement Firewall Generation) aktiviert ist, können dem User noch spezielle Firewall Rules zugewiesen werden. Authenticated ist z.b. eine Alles erlabt Regel welche per Default im Controller enthalten ist. Hier könnte nun eine neue User-Rolle hinzugefügt werden, wenn die User spezielle Rechte haben sollen. by Infinigate Schweiz Seite 21 von 22
Wir benützen für unsere User die authenticated Rolle. Nun sind alle Angaben gemacht und der Wizard kann nun beendet werden. Finish (3x) by Infinigate Schweiz Seite 22 von 22